Webisland.net Forum
Home | Web News | Download programmi | Forum
 

Vai indietro   Webisland.net Forum > Informatica > Sicurezza e Privacy
Registrazione FAQ Lista utenti Calendario Cerca Messaggi odierni Segna come letti

Sicurezza e Privacy Discussioni su tutto quello che riguarda la sicurezza informatica e la protezione della nostra privacy.





Rispondi
 
LinkBack Strumenti della discussione
Vecchio 14-06-2007, 10:14   #1 (permalink)
animaniacs
Utente
Membro Junior
 
Data di registrazione: May 2007
Messaggi: 13
Predefinito [Virus] File sospetti: igfxsvc.exe, spoolw.exe e dtkddpx.exe

a tutti....torno a scrivere e chiedervi aiuto per un problema....
nel task manager di windows mi trovo simpaticamente più processi attivi che io non conosco...tra cui ben due volte igfxsvc.exe e lo spoolw.exe...anche dtkddpx.exe c'è ma non capisco da dove escono fuori...!
Ho provato a terminarli ma riappaio come per magia...ho provato a fare una bella scansione con Zone Alarm Security Suite ma non trova nulla...
...sono virus?
...sto impazzendo aiutatemi!
animaniacs non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando


Vecchio 14-06-2007, 11:08   #2 (permalink)
magixonda
Canned
Forumer Junior
 
L'avatar di magixonda
 
Data di registrazione: May 2007
Messaggi: 171
Predefinito

posta il log di hijackthis
magixonda non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Vecchio 14-06-2007, 12:35   #3 (permalink)
COOLNESS
Utente
Top Forumer
 
Data di registrazione: Apr 2007
Ubicazione: Rimini
Messaggi: 504
Predefinito

Dtkddpx.exe ,igfxsvc.exe, spoolw.exe sono tutti malware!

PS: Posta il log di HIJACKTHIS!!!
__________________

Ultima modifica di COOLNESS : 26-07-2007 23:06.
COOLNESS non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Vecchio 15-06-2007, 08:13   #4 (permalink)
animaniacs
Utente
Membro Junior
 
Data di registrazione: May 2007
Messaggi: 13
Predefinito HijackThis

Questo è il log:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 9.12.18, on 15/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Documents and Settings\x\Menu Avvio\Programmi\Esecuzione automatica\dtkddpx.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programmi\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.ex e
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\3\FastMobileModem\MMModem.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\x\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P33 "EPSON Stylus C42 Series (Copia 1)" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [bdxdnsvw] C:\qnwvamkl.bat
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [E07IXLRD_8171734] "C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKCU\..\RunOnce: [FFTI] C:\Documents and Settings\x\Dati applicazioni\Mozilla\Firefox\Profiles\tgmx6e1y.def ault\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Documents and Settings\x\Dati applicazioni\Mozilla\Firefox\Profiles/tgmx6e1y.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: dtkddpx.exe
O4 - Startup: imfe.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{64B8D88A-4E02-4C11-A33E-241899ABDA97}: NameServer = 62.13.171.1 62.13.171.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6183 bytes

Potete aiutarmi???
animaniacs non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Vecchio 15-06-2007, 09:39   #5 (permalink)
COOLNESS
Utente
Top Forumer
 
Data di registrazione: Apr 2007
Ubicazione: Rimini
Messaggi: 504
Predefinito

Avvia il computer in modalità provvisoria poi Fixa le seguenti voci:

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe

O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe

O4 - HKCU\..\RunOnce: [FFTI] C:\Documents and Settings\x\Dati applicazioni\Mozilla\Firefox\Profiles\tgmx6e1y.def ault\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Documents and Settings\x\Dati applicazioni\Mozilla\Firefox\Profiles/tgmx6e1y.default\extensions\{B13721C7-F507 -4982-B2E5-502A71474FED}"

O4 - Startup: dtkddpx.exe

O4 - Startup: imfe.exe
__________________

Ultima modifica di COOLNESS : 15-06-2007 11:45.
COOLNESS non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Vecchio 15-06-2007, 10:47   #6 (permalink)
animaniacs
Utente
Membro Junior
 
Data di registrazione: May 2007
Messaggi: 13
Predefinito HijackThis

Fatto...solo che ho ho potuto Fixare le voci
c:\WINDOWs\system32\spoolw.exe
c:\WINDOWs\system32\igfxsvc.exe
perchè nel log compaiono ma non li trovo in lista per selezionarli.
Cmq il risultato è questo:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11.47.39, on 15/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolw.exe
C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programmi\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.ex e
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\x\Desktop\HiJackThis_v2.exe
C:\Programmi\3\FastMobileModem\MMModem.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P33 "EPSON Stylus C42 Series (Copia 1)" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [bdxdnsvw] C:\qnwvamkl.bat
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [E07IXLRD_8171734] "C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: APC UPS Status.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{64B8D88A-4E02-4C11-A33E-241899ABDA97}: NameServer = 62.13.171.1 62.13.171.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5754 bytes

Mi sembra che non sia cambiato nulla...come mai?
animaniacs non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Vecchio 15-06-2007, 10:51   #7 (permalink)
COOLNESS
Utente
Top Forumer
 
Data di registrazione: Apr 2007
Ubicazione: Rimini
Messaggi: 504
Predefinito

Hai fixato tutte le voci tranne queste:

c:\WINDOWs\system32\spoolw.exe
c:\WINDOWs\system32\igfxsvc.exe ????????????

Nel task manager non c'è più questo processo:

dtkddpx.exe ,vero?
__________________

Ultima modifica di COOLNESS : 15-06-2007 10:56.
COOLNESS non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Vecchio 15-06-2007, 11:01   #8 (permalink)
animaniacs
Utente
Membro Junior
 
Data di registrazione: May 2007
Messaggi: 13
Predefinito ...

Esatto quel processo non c'è più...resta cmq in esecuzione la coppia igfxsvc e spoolw in esecuzione....quelle due stringhe ( c:\WINDOWs\system32\spoolw.exe
c:\WINDOWs\system32\igfxsvc.exe)
non le ho fixate perchè nel log compaiono ma nella lista dove si seleziona NO!
Come faccio?
animaniacs non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Vecchio 15-06-2007, 11:44   #9 (permalink)
COOLNESS
Utente
Top Forumer
 
Data di registrazione: Apr 2007
Ubicazione: Rimini
Messaggi: 504
Predefinito

Segui questa procedura:

1)scarica il programma the avenger.

2)scegli l'opzione "input script manually"

3)inserisci prima questo script:

Files to delete:
c:\WINDOWs\system32\spoolw.exe

poi questo:


Files to delete:
c:\WINDOWs\system32\igfxsvc.exe

4)se hai qualche problema fammi sapere!!

__________________
COOLNESS non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Vecchio 16-06-2007, 11:32   #10 (permalink)
animaniacs
Utente
Membro Junior
 
Data di registrazione: May 2007
Messaggi: 13
Predefinito avenger

Fatto...il log che mi si presenta mi dà conferma della cancellazione del file dopo che naturalmente ho dovuto riavviare per eseguire la cancellazione...ma se apro il task manager i file sono sempre lì...mi tocca formattare?Ho sbaglio in qualcosa?
animaniacs non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Vecchio 16-06-2007, 12:00   #11 (permalink)
COOLNESS
Utente
Top Forumer
 
Data di registrazione: Apr 2007
Ubicazione: Rimini
Messaggi: 504
Predefinito

Strano,molto strano....vuol dire che sono processi molto tosti da eliminare.
Non hai sbagliato niente e lo script che ti ho detto di inserire è corretto.
__________________

Ultima modifica di COOLNESS : 17-06-2007 22:01.
COOLNESS non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Vecchio 17-06-2007, 21:51   #12 (permalink)
COOLNESS
Utente
Top Forumer
 
Data di registrazione: Apr 2007
Ubicazione: Rimini
Messaggi: 504
Predefinito

In questi casi si consiglia di disabilitare il ripristino di sistema e di eseguire una scansione in modalità provvisoria.
Hai già provato a far ciò?
__________________

Ultima modifica di COOLNESS : 17-06-2007 22:05.
COOLNESS non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Vecchio 18-06-2007, 09:40   #13 (permalink)
animaniacs
Utente
Membro Junior
 
Data di registrazione: May 2007
Messaggi: 13
Predefinito punto della situazione

Ho disabilitato il ripristino...riavviato in modalità provvisoria...fatta scansione con HujackThis...fixato le chiavi sospette, ripulito un pò il registro con Ccleaner.Ho controllato che i processi non fossero alzati, ho cancellato direttamente i file nel sistem32...ho controllato nel regedit se ci fossero ancora le chiavi di registro sospette...tutto ok...ma non appena ritorno in modalità normale è tutto come prima!
Sbaglio qualcosa?
Cosa devo fare?


questo è il log che mi dà ora:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10.40.17, on 18/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\Programmi\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.ex e
C:\Programmi\3\FastMobileModem\MMModem.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\x\Desktop\cancellazione\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = 192.168.0.2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P33 "EPSON Stylus C42 Series (Copia 1)" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [E07IXLRD_8171734] "C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: APC UPS Status.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{64B8D88A-4E02-4C11-A33E-241899ABDA97}: NameServer = 62.13.171.1 62.13.171.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5821 bytes
animaniacs non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Vecchio 18-06-2007, 13:15   #14 (permalink)
COOLNESS
Utente
Top Forumer
 
Data di registrazione: Apr 2007
Ubicazione: Rimini
Messaggi: 504
Predefinito

Ho fatto una ricerca approfondita sul web riguardante quei processi dannosi e forse ho trovato il modo per cancellarli.

1)svuota la cache di explorer

2)inserisci questo script in avenger:

Files to delete:
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\iexplore_32.exe
C:\WINDOWS\w32dbg.exe
C:\U.exe

3)controlla nel menu avvio se hai un certo file Imfe.exe e se si, eliminalo o manualmente o aggiungendo il suo percorso in coda allo script di avenger...

ps:fammi sapere!!
__________________

Ultima modifica di COOLNESS : 26-07-2007 23:07.
COOLNESS non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Vecchio 18-06-2007, 18:38   #15 (permalink)
animaniacs
Utente
Membro Junior
 
Data di registrazione: May 2007
Messaggi: 13
Predefinito

Il problema come ho già detto prima e che non mi fà fixare le voci:

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

perchè nel figle log.txt compagiono,ma nella lista scansione NO,cioè dove selezionare e fare fixa!
Come faccio?
Poi il file Imfe.exe in un percorso particolare?
animaniacs non in linea  
Digg this Post!Add Post to del.icio.usBookmark Post in TechnoratiFurl this Post!Condividi su Facebook
Rispondi citando

Rispondi





Strumenti della discussione

Regole di scrittura
Tu non puoi inserire i messaggi
Tu non puoi rispondere ai messaggi
Tu non puoi inviare gli allegati
Tu non puoi modificare i tuoi messaggi

codice vB è Attivo
smilies è Attivo
[IMG] il codice è Attivo
Il codice HTML è Attivo
Trackbacks are Attivo
Pingbacks are Attivo
Refbacks are Attivo


Tutti gli orari sono GMT +1. Attualmente sono le 12:38.


Home | Download | ONE
Powered by vBulletin versione 3.6.4
Copyright ©: 2000 - 2012, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO 3.0.0 RC8
Traduzione italiana a cura di: vBulletinItalia. it
Webisland.net - dal 2003 il punto di riferimento per appassionati di informatica e tecnologie