Author Topic: Virus o altro? Appaiono edcf4 - kwh e altri file...  (Read 10115 times)

0 Members and 1 Guest are viewing this topic.

gandalf762

  • Guest
Virus o altro? Appaiono edcf4 - kwh e altri file...
« on: January 04, 2012, 04:49:23 PM »
Non riesco a capire cosa sia, anche dopo una formattazione e il cambio di sistema operativo continua ad avere questo problema con windows7.
In pratica ogni tanto mi rictrovo in alcune cartelle del pc alcuni file nascosti sempre con gli stessi nomi, edcf4 e khw sono i piu frequenti, ma a volte ne escono anche altri.
Inoltre in C:\Windows\SysWOW64\drivers appare il file hardwareinterface.sys
avast non rileva nulla ho fatto anche la scansione all'avvio, ho provato combofix e mi elimina solo hardwareinterface.sys il resto lo lascia.
Se non faccio nulla dopo 1-2 settimane il sistema e' intasato di quei file e devo formattare perche non va piu nulla... se appena li vedo faccio qualche scansione o elimino i file manualmente riesco ad andare avanti..
Ma la domanda, e': di che diavolo si tratta?
Grazie, io sinceramente non riesco a trovare una spiegazione a sta cosa.

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #1 on: January 04, 2012, 05:32:11 PM »
Ciao,
1)Win 7 è aggiornato con il service pack e gli ulitmi aggiornamenti?
2)Altri software antivirus sono installati?
3)Avevi disabilitato Avast o altro antivirus prima di eseguire combofix?
4)Prova a verificare i file in questione facendo l'upload sul sito www.virustotal.com
5)In quale directory trovi questi file?
6)Fai unsa scansione completa con questo programma... http://www.malwarebytes.org/
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

gandalf762

  • Guest
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #2 on: January 04, 2012, 08:44:15 PM »
Dunque, ad alcune domande rispondo ora, ad altre dopo qunado faro le tue prove.

1) Aggiornatissimo, attualmente ho il x64 ma prima avevo x86 e con lo stesso problema
2) No solo avast
3) Si prima di eseguire combofix sono stato praticamente costretto a disabilitare temporaneamente avast
5) Trovo i file in D: (root dell hd secondario) poi ho una cartella/raccolta che comprende 5 percorsi, la raccolta e' "video" e in TUTTI e 5 i percorsi trovo una copia di quei file

ora faccio una scansione con i tuoi programmi ai tui link, speriamo bene di trovare una soluzione perche sto problema che mi porto avanti da mesi orami, mi ha davvero esaurito...

Personalmente credo sia qualche programma che installo abitudinalmente ad essere infetto da qualcosa altrimenti non mi spiegherei il ritorno del "virus" dopo la formattazione...
cmq ora scansiono...
Per ora Grazie!

Aggiungo che proprio ora in D: ho trovato
lxlbpr.exe
e il solito
edcf4

che ballleeee!!!
« Last Edit: January 04, 2012, 08:46:16 PM by gandalf762 »

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #3 on: January 04, 2012, 08:51:42 PM »
Ok,
fai le prove, poi posta il log prodotto con questo programma
http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi

ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

gandalf762

  • Guest
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #4 on: January 04, 2012, 08:54:19 PM »
analizzando l'exe con virustotal e' uscito:
Antivirus results
AhnLab-V3 - 2012.01.03.00 - 2012.01.03 - Worm/Win32.AutoIt
AntiVir - 7.11.20.162 - 2012.01.04 - TR/Dropper.Gen2
AVG - 10.0.0.1190 - 2012.01.04 - Packed.AutoIt
BitDefender - 7.2 - 2012.01.04 - Gen:Trojan.Heur.AutoIT.5
ByteHero - 1.0.0.1 - 2011.12.31 - Trojan.Malware.Win32.xPack.l
F-Secure - 9.0.16440.0 - 2012.01.04 - Gen:Trojan.Heur.AutoIT.5
GData - 22.331/22.625 - 2012.01.04 - Gen:Trojan.Heur.AutoIT.5
Jiangmin - 13.0.900 - 2012.01.04 - TrojanDownloader.Zlob.xcl
Panda - 10.0.3.5 - 2012.01.04 - W32/Autoit.HQ
PCTools - 8.0.0.5 - 2012.01.04 - Malware.Harakit!rem
SUPERAntiSpyware - 4.40.0.1006 - 2012.01.04 - Trojan.Agent/Gen-Dsclke[Large]
Symantec - 20111.2.0.82 - 2012.01.04 - W32.Harakit
TheHacker - 6.7.0.1.371 - 2012.01.03 - Trojan/Autoit.alj
VIPRE - 11352 - 2012.01.04 - Trojan.Win32.Generic!BT
File info:
MD5: 2a213232b5e54e10df73d3ceff7ca52c
SHA1: d2e2288b0a102e29b805d991313bd0b6104238fd
SHA256: 1b4833ed147bd46c1f6232120fbf7cffe65b65e7e53dad3744f29821ec64838b
File size: 940670 bytes
Scan date: 2012-01-04 19:39:37 (UTC)


ora vedo con hjthis cosa esce

gandalf762

  • Guest
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #5 on: January 04, 2012, 09:01:30 PM »
il log di hjthis non me lo fa mettere.. e' troppo lungo..
nel frattempo sto scansionando con malwarebyte

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #6 on: January 04, 2012, 09:05:56 PM »
Devi salvarlo e poi in basso a sinistra nel forum->additional options->attach

Ma sei sicuro che con avast non rilevava il virus?
Che versione hai, è la 6.0.1367?
E la versione delle definizioni dei virus?
Hai già fatto la scansione all'avvio con avast?
Ritengo dalla info ottenute che il virus sia sul drive D: e quindi avendo formattato c: i virus sono ancora li in D:.., può essere?
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

gandalf762

  • Guest
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #7 on: January 04, 2012, 09:33:04 PM »
-avast niente di niente
-si e' sempe tutto aggiornato 6.0.1367
-anche questa aggiornata 120104-1
-si anche all'avvio aveva rilevato qualcosa ma alla fine il mio virus ritorna sempre
-si quello puo essere... ma come lo rilevo??? sto aspettando la fine della scansione di malwarebyte...

gandalf762

  • Guest
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #8 on: January 04, 2012, 09:36:42 PM »
allego log hjthis

gandalf762

  • Guest
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #9 on: January 05, 2012, 10:58:59 AM »
niente... malwarebyes ha trovato qualcosa ma stamane mi sono ritrovato nuovamente il file "khw" da 0 bytes nelle solite cartelle (anzi forse anche in altre cartelle)
ho passato superantisyware, anch'esso ha rilevato qualcosa, ho riavviato il pc ma come dico stamane c'erano nuovamente i file.

che devo fare?

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #10 on: January 05, 2012, 11:33:43 AM »
Ok,
puoi provare a eliminare le voci che sono rimaste nel log che ho ri-allegato, fatti un backup prima.
Tutti quelli con file missing per esempio e altre voci che NON DOVREBBERO servire
Se ci sono voci che ritieni che servono sicuramente, non eliminarle, ma sono servizi che partono automaticamente con il PC, puoi anche eliminarli poco alla volta e vedere se i file tornano.
Apri HijackThis e poi selezioni con il flag le voci da eliminare.
Ti allego il LOG del mio pc per farti vedere come è corto.....

Se anche cosi continui ad avere quei file strani prima formatti unita D: (tasto dx e formatta..)e poi reinstalli Win.

Ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

gandalf762

  • Guest
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #11 on: January 05, 2012, 05:30:26 PM »
elimino TUTTO quello che c'e nel log che mi hai riallegato ?? a parte quello che so che serve?
devo farlo manualmente?
Grazie

Offline giogio

  • Avast Evangelist
  • Massive Poster
  • ***
  • Posts: 4088
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #12 on: January 05, 2012, 05:39:15 PM »
Si, devi farlo manualmente, considera che le voci:
PowerDVD
SUPERAntiSpyware
COMODO System Utilities
Malwarebytes' Anti-Malware
NVIDIA
e altre che ho lasciato nel log meglio non farle partire all'avvio, le puoi fare partire in un secondo momento.

ciao
Prima di scrivere sul forum per favore leggi le istruzioni qui https://forum.avast.com/index.php?topic=144453.0
Non inviatemi MP per supporto,grazie-No support PM please
Home: E8400-4GB RAM-500GB HDD-Win10.0.15063x64-Avast! Free 17.3.2291-CryptoPrevent-MBAM 2.2free-Chrome 57(uBlock origin)-TB52
Work: i5-2400-4GB RAM-500GB HDD-Win 7sp1x64-Avast!Business Security 12.3.2515,     
Cloud Console 2.18
-FF52-TB52

gandalf762

  • Guest
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #13 on: January 05, 2012, 05:44:38 PM »
ok ho lasciato l'essenziale ma c'e un grosso problema... non si eliminano alcune voci...
infatti tutte quelle (file missing) le ho selezionate, fatto FIX, riavviato pc e sono tornate....
uuufffaaaaaaa

gandalf762

  • Guest
Re: Virus o altro? Appaiono edcf4 - kwh e altri file...
« Reply #14 on: January 05, 2012, 05:46:17 PM »
riallego il log... sembra quasi uguale a prima