[Virus] Aiuto rimozione

COOLNESS · 13-05-2007, 09:23

guarda che kaspersky è a pagamento e magixonda ha detto esattamente il contrario di quello che hai detto te

...

maria.m75 · 22-07-2007, 20:44

ciao, sono nuova, penso di avere qualche problema con il pc.. e sono anche abbastanza imbranata.. vogliate quindi portare un po' di pazienza con me

1) ho installato il Norton antivirus
2) sto effettuando on line una scansione con pandasoftware (rilevati 11 spyware)
3) se apro il task manager escono i seguenti processi + utilizzo:
svchost.exe - servizio di rete - 1.628
svchost.exe - servizio di rete - 928
svchost.exe - servizio di locale - 728
scardsvr.exe - servizio locale - 200
wdfmgr.exe - servizio locale - 164
alg.exe - servizio locale - 336
svchost.exe - system - 620
svchost.exe - system - 1.444
svchost.exe - system - 624
ed una miriade di altri processi.

Nel frattempo che finisce la scansione, volevo chiedervi: ma è normale avere più files uguali attivi? Come mai, durante la chiusura, a volte mi dice che non riesce a terminare il programma ccApp.exe?

aiutatemi.. grazie..

ps.. proverò anche a seguire le indicazioni del post "il manuale..." sperando che il pc continui a funzionare anche "dopo" :) beh..almeno mi è rimasto un po' di buon umore..

edit: erano cookies, li ho eliminati ed ho rilanciato la scansione (si fa sera, allora..). Nella cartella dei cookies c'è un file video index.. è normale? Non si cancella..

COOLNESS · 22-07-2007, 23:35

maria!!

svchost.exe -> è un processo che collega una decina di servizi del SO.
wdfmgr.exe -> e' un processo che fa diminuire i problemi di incompatibilita' di windows media player.
alg.exe -> è un processo che è attivo nel caso in cui si utilizza l'ICF ossia il firewall integrato di XP. Non è attivo nel caso in cui si utilizzi un altro firewall,in questo caso è necessario disabilitare l'ICF.
scardsvr.exe -> non ne ho idea di che processo sia ma non credo sia nocivo.

Nel caso di svchost è normale che sia ripetuto!

Per quanto riguarda ccApp.exe -> è un componente del Norton antivirus, viene abilitato ogni volta che si accende e si spegne il pc. Il suo scopo è quello di consentire scansioni delle mail, e l'autoprotezione.

ps:

1) se posti nel forum il log di HijackThis posso aiutarti ad eliminare eventuali malware.

2) spero di essere stato chiaro.

maria.m75 · 22-07-2007, 23:51

1) ho disabilitato il system restore e lanciato il pc in modalità provvisoria. Sono entata come amministratore (è giusto?) e ora sta facendo la scansione con il norton (ovviamente non su questo pc).
2) Il panda active scan è lo stesso software che ho già utilizzato prima, vero? Dovesse non uscire nulla da questa scansione, è consigliabile rilanciarlo sempre non il system restore disabilitato o basta quello che ha già fatto prima?
3) Già che mi trovo.. nel mio pc ci sono la bellezza di 800.000 elementi sottoposti a scansione (e ancora non è finito); in parte credo siano aggiornamenti (cartelle a volontà sotto windows "$NtunistallK" con codici alfanumerici: posso cancellarle?)
4) eh, il log di HijackThis.. temevo questa domanda.. avevo visto altri post prima di scrivere.. ehmm... faccio altre ricerche qui nel forum, vedo di che si tratta e te lo posto se ci riesco (forseee ma proprio forseeee).
5) ho notato che il firewall di Windows XP è disattivato.. è giusto che sia così visto che c'è il norton?

Grazie per la tua risposta :) si che sei stato chiaro..e mi sento un po' più tranquilla..

edit: ok, ho trovato il programma da scaricare di cui parlavi.. ma devo attendere la fine della scansione.. quindi rimando a..stasera, oramai. Già che mi trovo, controllo anche quali programmi vengono lanciati all'avvio. Ancora mille grazie..

maria.m75 · 23-07-2007, 09:34

6) il norton non ha evidenziato problemi. Ho riavviato il pc ed attivato nuovamente il ripristino configurazione di sistema.

7) Stamattina all’avvio e’ uscita questa finestra: “l’unita’ di configurazione del sistema e’ stata utilizzata per apportare modifiche alla modalità di avvio di windows. L’unita’ di configurazione di sistema e’ attualmente in modalità Avvio diagnostico o selettivo. Per avviare windows normalmente e annullare le modifiche apportate mediante l’utilità’ configurazione di sistema, scegliere la modalità di avvio normale nella schermata generale.” Ho spuntato la scritta “non visualizzare questo messaggio o avvia l’utilità’ configurazione di sistema all’avvio di windows”.

8) i programmi di avvio caricati sono i seguenti:
igfxtray
hkcmd
AGRSMMSG
SMax4PNP
Smax4
Jusched
Sgtray
tfswctrl
SynTPEnh
EabServr
Cpqset
HP Wireless Assistant
DVDCheck
DirectCD
HPWuSchd
hpcmpmgr
(nessun nome)
Qttask
ccApp
osCheck
ctfmon
NMBgMonitor
Hp Digital Imaging..
Microsoft Office

Ho disabilitato iTunesHelper; MsnMsgr; neroCheck

9) I processi aperti (task manager)
taskmgr
printkey
symlcsvc
hpqwmi
hpqtra08
NMBgMonitor
Ctfmon
ccApp
qttask
wmiprvse
hpcmpmgr
hpwuSchd
Directcd
HP Wireless Assist.
Eabservr
SynTPEnh
tfswctrl
jusched
SMax4PNP
AGRSMMSG
Hkcmd
Igfxtray
ccSvcHst
explorer
svchost
svchost
svchost
alg
svchost
svchost
lsass
services
winlogon
csrss
smss
AluSchedulerSvc..
wdfmgr
tablet
SMAgent
Svchost
System
ciclo idle del sistema

stasera vi posto il log di HijackThis

…scusate se sto scrivendo cosi’ tanto ma almeno mi tolgo ogni dubbio..
Maria

COOLNESS · 23-07-2007, 13:53

Quote:

maria.m75

1) ho disabilitato il system restore e lanciato il pc in modalità provvisoria. Sono entata come amministratore (è giusto?) e ora sta facendo la scansione con il norton (ovviamente non su questo pc).
2) Il panda active scan è lo stesso software che ho già utilizzato prima, vero? Dovesse non uscire nulla da questa scansione, è consigliabile rilanciarlo sempre non il system restore disabilitato o basta quello che ha già fatto prima?
3) Già che mi trovo.. nel mio pc ci sono la bellezza di 800.000 elementi sottoposti a scansione (e ancora non è finito); in parte credo siano aggiornamenti (cartelle a volontà sotto windows "$NtunistallK" con codici alfanumerici: posso cancellarle?)
4) eh, il log di HijackThis.. temevo questa domanda.. avevo visto altri post prima di scrivere.. ehmm... faccio altre ricerche qui nel forum, vedo di che si tratta e te lo posto se ci riesco (forseee ma proprio forseeee).
5) ho notato che il firewall di Windows XP è disattivato.. è giusto che sia così visto che c'è il norton?

Grazie per la tua risposta :) si che sei stato chiaro..e mi sento un po' più tranquilla..

edit: ok, ho trovato il programma da scaricare di cui parlavi.. ma devo attendere la fine della scansione.. quindi rimando a..stasera, oramai. Già che mi trovo, controllo anche quali programmi vengono lanciati all'avvio. Ancora mille grazie..

1) perfetto.
2) si,il system restore lo devi disattivare prima di eseguire la scansione,quando poi è terminata puoi riattivarlo.
3) lascia stare....se vuoi puoi cancellare i file temporanei.
start -> esegui -> digita %userprofile%/Impostazioni locali/Temp -> nella finestra che appare cancella pure tutti i file o cartelle.
4) il log è indispensabile!!
5) certo, si è disattivato in automatico quando hai installato il norton. Devi sapere che il norton possiede un firewall integrato in grado di bloccare trasferimento indesiderato di dati, e attacchi provenienti da altri pc.

maria.m75 · 23-07-2007, 14:23

opsss, lo sto scoprendo ora facendo ricerche... pare ci siano problemi con il Igfxtray.exe...

COOLNESS · 23-07-2007, 14:31

non ti preoccupare,stai tranqui....posta il log quando puoi poi ti guido io all'eliminazione di malware!

maria.m75 · 23-07-2007, 18:34

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.29.39, on 23/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programmi\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programmi\HP\HP Software Update\HPWuSchd.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\HPQ\SHARED\HPQWMI.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\DOCUME~1\MARIAM~1\IMPOST~1\Temp\Directory temporanea 1 per HiJackThis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM= :) TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM= :) TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM= :) TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.libero.it:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: MSX - {037CE595-57CB-4EB5-9775-97BC112F3BB3} - C:\WINDOWS\system32\msx.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Active sync - {25E1A054-1262-459F-9F14-BF06148F4253} - C:\WINDOWS\system32\kaboom.dll (file missing)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\system32\kaboom.dll (file missing)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?78ba78b96f834ee9aef8180116928178
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?78ba78b96f834ee9aef8180116928178
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe
--
End of file - 9406 bytes

maria.m75 · 23-07-2007, 18:48

se vedi il mio cognome me lo dici?
allora.. vedo che è stato lanciato 2 volte:
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
anzi 3..
C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\kaboom.dll (file missing)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT///SAOS01?FORM=...

.TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT///SAOS01?FORM= .

..TOOLBR

mamma mia..

COOLNESS · 23-07-2007, 18:56

Quote:

maria.m75

se vedi il mio cognome me lo dici?
allora.. vedo che è stato lanciato 2 volte:
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
anzi 3..
C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\kaboom.dll (file missing)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT///SAOS01?FORM=...

.TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT///SAOS01?FORM= .

..TOOLBR

mamma mia..

cognome???
lo analizzo un pò poi ti faccio sapere!!

maria.m75 · 23-07-2007, 19:05

Quote:

COOLNESS

cognome???
lo analizzo un pò poi ti faccio sapere!!

beh, almeno rido ancora (per ora)..
Grazie... :)

COOLNESS · 23-07-2007, 19:22

Fixa:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe"

O2 - BHO: MSX - {037CE595-57CB-4EB5-9775-97BC112F3BB3} - C:\WINDOWS\system32\msx.dll (file missing)

O2 - BHO: Active sync - {25E1A054-1262-459F-9F14-BF06148F4253} - C:\WINDOWS\system32\kaboom.dll (file missing)

O2 - BHO: Site Update Watcher
-{A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\system32\kaboom.dll (file missing)

************************************************** **********************
Che programma anti-spyware usi?

maria.m75 · 23-07-2007, 19:25

beh.. credo di avere solo il norton... per il resto posso controllare..
poi.. come si fixa?.. o me lo cerco?

devo cancellarli, forse?.. dalla schermata di HijackThis?

edit: quello R1 (outlook) cos'è?

COOLNESS · 23-07-2007, 19:28

Per fixare basta che selezioni le voi e premi nel pulsante "fix checked".

13-05-2007, 09:23	#31 (permalink)
COOLNESS Utente Top Forumer Data di registrazione: Apr 2007 Ubicazione: Rimini Messaggi: 504	guarda che kaspersky è a pagamento e magixonda ha detto esattamente il contrario di quello che hai detto te ... __________________

22-07-2007, 20:44	#32 (permalink)
maria.m75 Utente Membro Data di registrazione: Jul 2007 Messaggi: 58	ciao, sono nuova, penso di avere qualche problema con il pc.. e sono anche abbastanza imbranata.. vogliate quindi portare un po' di pazienza con me 1) ho installato il Norton antivirus 2) sto effettuando on line una scansione con pandasoftware (rilevati 11 spyware) 3) se apro il task manager escono i seguenti processi + utilizzo: svchost.exe - servizio di rete - 1.628 svchost.exe - servizio di rete - 928 svchost.exe - servizio di locale - 728 scardsvr.exe - servizio locale - 200 wdfmgr.exe - servizio locale - 164 alg.exe - servizio locale - 336 svchost.exe - system - 620 svchost.exe - system - 1.444 svchost.exe - system - 624 ed una miriade di altri processi. Nel frattempo che finisce la scansione, volevo chiedervi: ma è normale avere più files uguali attivi? Come mai, durante la chiusura, a volte mi dice che non riesce a terminare il programma ccApp.exe? aiutatemi.. grazie.. ps.. proverò anche a seguire le indicazioni del post "il manuale..." sperando che il pc continui a funzionare anche "dopo" :) beh..almeno mi è rimasto un po' di buon umore.. edit: erano cookies, li ho eliminati ed ho rilanciato la scansione (si fa sera, allora..). Nella cartella dei cookies c'è un file video index.. è normale? Non si cancella.. Ultima modifica di maria.m75 : 22-07-2007 21:02.

22-07-2007, 23:35	#33 (permalink)
COOLNESS Utente Top Forumer Data di registrazione: Apr 2007 Ubicazione: Rimini Messaggi: 504	maria!! svchost.exe -> è un processo che collega una decina di servizi del SO. wdfmgr.exe -> e' un processo che fa diminuire i problemi di incompatibilita' di windows media player. alg.exe -> è un processo che è attivo nel caso in cui si utilizza l'ICF ossia il firewall integrato di XP. Non è attivo nel caso in cui si utilizzi un altro firewall,in questo caso è necessario disabilitare l'ICF. scardsvr.exe -> non ne ho idea di che processo sia ma non credo sia nocivo. Nel caso di svchost è normale che sia ripetuto! Per quanto riguarda ccApp.exe -> è un componente del Norton antivirus, viene abilitato ogni volta che si accende e si spegne il pc. Il suo scopo è quello di consentire scansioni delle mail, e l'autoprotezione. ps: 1) se posti nel forum il log di HijackThis posso aiutarti ad eliminare eventuali malware. 2) spero di essere stato chiaro. __________________ Ultima modifica di COOLNESS : 23-07-2007 13:54.

22-07-2007, 23:51	#34 (permalink)
maria.m75 Utente Membro Data di registrazione: Jul 2007 Messaggi: 58	1) ho disabilitato il system restore e lanciato il pc in modalità provvisoria. Sono entata come amministratore (è giusto?) e ora sta facendo la scansione con il norton (ovviamente non su questo pc). 2) Il panda active scan è lo stesso software che ho già utilizzato prima, vero? Dovesse non uscire nulla da questa scansione, è consigliabile rilanciarlo sempre non il system restore disabilitato o basta quello che ha già fatto prima? 3) Già che mi trovo.. nel mio pc ci sono la bellezza di 800.000 elementi sottoposti a scansione (e ancora non è finito); in parte credo siano aggiornamenti (cartelle a volontà sotto windows "$NtunistallK" con codici alfanumerici: posso cancellarle?) 4) eh, il log di HijackThis.. temevo questa domanda.. avevo visto altri post prima di scrivere.. ehmm... faccio altre ricerche qui nel forum, vedo di che si tratta e te lo posto se ci riesco (forseee ma proprio forseeee). 5) ho notato che il firewall di Windows XP è disattivato.. è giusto che sia così visto che c'è il norton? Grazie per la tua risposta :) si che sei stato chiaro..e mi sento un po' più tranquilla.. edit: ok, ho trovato il programma da scaricare di cui parlavi.. ma devo attendere la fine della scansione.. quindi rimando a..stasera, oramai. Già che mi trovo, controllo anche quali programmi vengono lanciati all'avvio. Ancora mille grazie.. Ultima modifica di maria.m75 : 23-07-2007 00:25.

23-07-2007, 09:34	#35 (permalink)
maria.m75 Utente Membro Data di registrazione: Jul 2007 Messaggi: 58	altre info 6) il norton non ha evidenziato problemi. Ho riavviato il pc ed attivato nuovamente il ripristino configurazione di sistema. 7) Stamattina all’avvio e’ uscita questa finestra: “l’unita’ di configurazione del sistema e’ stata utilizzata per apportare modifiche alla modalità di avvio di windows. L’unita’ di configurazione di sistema e’ attualmente in modalità Avvio diagnostico o selettivo. Per avviare windows normalmente e annullare le modifiche apportate mediante l’utilità’ configurazione di sistema, scegliere la modalità di avvio normale nella schermata generale.” Ho spuntato la scritta “non visualizzare questo messaggio o avvia l’utilità’ configurazione di sistema all’avvio di windows”. 8) i programmi di avvio caricati sono i seguenti: igfxtray hkcmd AGRSMMSG SMax4PNP Smax4 Jusched Sgtray tfswctrl SynTPEnh EabServr Cpqset HP Wireless Assistant DVDCheck DirectCD HPWuSchd hpcmpmgr (nessun nome) Qttask ccApp osCheck ctfmon NMBgMonitor Hp Digital Imaging.. Microsoft Office Ho disabilitato iTunesHelper; MsnMsgr; neroCheck 9) I processi aperti (task manager) taskmgr printkey symlcsvc hpqwmi hpqtra08 NMBgMonitor Ctfmon ccApp qttask wmiprvse hpcmpmgr hpwuSchd Directcd HP Wireless Assist. Eabservr SynTPEnh tfswctrl jusched SMax4PNP AGRSMMSG Hkcmd Igfxtray ccSvcHst explorer svchost svchost svchost alg svchost svchost lsass services winlogon csrss smss AluSchedulerSvc.. wdfmgr tablet SMAgent Svchost System ciclo idle del sistema stasera vi posto il log di HijackThis …scusate se sto scrivendo cosi’ tanto ma almeno mi tolgo ogni dubbio.. Maria Ultima modifica di maria.m75 : 23-07-2007 09:56.

23-07-2007, 14:23	#37 (permalink)
maria.m75 Utente Membro Data di registrazione: Jul 2007 Messaggi: 58	opsss, lo sto scoprendo ora facendo ricerche... pare ci siano problemi con il Igfxtray.exe...

23-07-2007, 14:31	#38 (permalink)
COOLNESS Utente Top Forumer Data di registrazione: Apr 2007 Ubicazione: Rimini Messaggi: 504	non ti preoccupare,stai tranqui....posta il log quando puoi poi ti guido io all'eliminazione di malware! __________________

23-07-2007, 18:34	#39 (permalink)
maria.m75 Utente Membro Data di registrazione: Jul 2007 Messaggi: 58	Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18.29.39, on 23/07/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Tablet.exe C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programmi\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe C:\Programmi\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programmi\HP\HP Software Update\HPWuSchd.exe C:\Programmi\HP\hpcoretech\hpcmpmgr.exe C:\Programmi\QuickTime\qttask.exe C:\Programmi\File comuni\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe C:\Programmi\HPQ\SHARED\HPQWMI.exe C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programmi\Internet Explorer\iexplore.exe C:\DOCUME~1\MARIAM~1\IMPOST~1\Temp\Directory temporanea 1 per HiJackThis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM= :) TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM= :) TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM= :) TOOLBR R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe" R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy.libero.it:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: MSX - {037CE595-57CB-4EB5-9775-97BC112F3BB3} - C:\WINDOWS\system32\msx.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Active sync - {25E1A054-1262-459F-9F14-BF06148F4253} - C:\WINDOWS\system32\kaboom.dll (file missing) O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\system32\kaboom.dll (file missing) O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [UpdateManager] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programmi\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe" O4 - HKLM\..\Run: [WatchDog] C:\Programmi\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton AntiVirus\osCheck.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/230?78ba78b96f834ee9aef8180116928178 O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\Windows Live Toolbar\Components\it-it\msntabres.dll.mui/229?78ba78b96f834ee9aef8180116928178 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\SHARED\HPQWMI.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.e xe -- End of file - 9406 bytes Ultima modifica di maria.m75 : 23-07-2007 18:52.

23-07-2007, 18:48	#40 (permalink)
maria.m75 Utente Membro Data di registrazione: Jul 2007 Messaggi: 58	se vedi il mio cognome me lo dici? allora.. vedo che è stato lanciato 2 volte: C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe anzi 3.. C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\kaboom.dll (file missing) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT///SAOS01?FORM=... .TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT///SAOS01?FORM= . ..TOOLBR mamma mia..

23-07-2007, 19:25	#44 (permalink)
maria.m75 Utente Membro Data di registrazione: Jul 2007 Messaggi: 58	beh.. credo di avere solo il norton... per il resto posso controllare.. poi.. come si fixa?.. o me lo cerco? devo cancellarli, forse?.. dalla schermata di HijackThis? edit: quello R1 (outlook) cos'è? Ultima modifica di maria.m75 : 23-07-2007 19:27.

23-07-2007, 19:28	#45 (permalink)
COOLNESS Utente Top Forumer Data di registrazione: Apr 2007 Ubicazione: Rimini Messaggi: 504	Per fixare basta che selezioni le voi e premi nel pulsante "fix checked". __________________

Strumenti della discussione
Visualizza la versione stampabile Invia la pagina tramite email