Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Generic Host Process e Hijack: c'è un nesso? Opzioni
9plc
Inviato: Wednesday, May 18, 2005 2:01:23 PM
Rank: AiutAmico

Iscritto dal : 11/18/2004
Posts: 206
Per Alfonso o a.roselli o amvinfe

Ancora io...

Come da vostre istruzioni (sempre puntuali ed efficaci), ho sottoposto il log di HijackThis al sito omonimo e dalla Short Analysis ho eliminato le voci che mi erano note. Mi restano questi files dubbi, devo eliminarli?

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe - Sconosciuto
O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt - Abbastanza sospetto
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe - Sconosciuto
O4 - Startup: FSScrCtl.exe – Sconosciuto

Può dipendere da uno di questi la seguente stranezza?
Ogni tanto all’avvio del p.c. una finestra mi informa che “Si è verificato un problema che ha richiesto la chiusura di Generic Host Process for Win32 Services”.
Identificativo szAppName : svchost.exe szAppVer: 0.0.0.0
szModName : unknown
szModVer : 0.0.0.0 offset : 00000000

Le scansioni con AdAware, Spybot e CWShredder sono tutte negative.
(Windows XP Professional)

Come sempre, grazie!



Sponsor
Inviato: Wednesday, May 18, 2005 2:01:23 PM

 
alfonso
Inviato: Wednesday, May 18, 2005 3:07:11 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe - Sconosciuto
<b>NO e un file della Hewlett Packard</b>

O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt - Abbastanza sospetto
<b>SI può rimuovere ma non e pericoloso</b>

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe - Sconosciuto
<b>NO e un file della Hewlett Packard</b>

O4 - Startup: FSScrCtl.exe – Sconosciuto
<b>NO é un file della Stardust Screen Saver Toolkit
</b>


Fai attenzione con il controllo on line di Hijack, in caso di dubbio inserisci il log completo.

Collaboratore Aiutamici
9plc
Inviato: Wednesday, May 18, 2005 4:19:21 PM
Rank: AiutAmico

Iscritto dal : 11/18/2004
Posts: 206
Intanto grazie per il tuo invito alla prudenza, ma credo che "nylonsexy.com, sexfiles.nu, allforadult.com, vesbiz.biz aaasexypics.com, ecc." fossero decisamente degli intrusi, no?
E per la seconda parte della mia domanda (generic host process) che puoi dirmi?
alfonso
Inviato: Wednesday, May 18, 2005 5:50:51 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Può essere causato da uno spyware o virus, inserisci il log cosi controlliamo se hai dimenticato qualcosa da eliminare.

Collaboratore Aiutamici
9plc
Inviato: Thursday, May 19, 2005 9:42:10 AM
Rank: AiutAmico

Iscritto dal : 11/18/2004
Posts: 206
Eccomi!
Questi li ho messi nella IGNORELIST:
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6AA9545-ED5E-4AB8-A06D-77757946A8EE}: NameServer = 62.211.69.150 212.48.4.15
O4 - Startup: FSScrCtl.exe
O4 - Startup: PopTray.lnk = C:\Programmi\PopTray\PopTray.exe
O4 - Startup: Rainlendar.lnk = C:\Programmi\Rainlendar\Rainlendar.exe
O4 - Global Startup: HELPExpress.lnk = C:\Programmi\HELPExpress\bin\matcli.exe


Logfile of HijackThis v1.99.1
Scan saved at 9.20.28, on 19/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Trend Micro\Internet Security 12\pccguide.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Documents and Settings\Paola\Menu Avvio\Programmi\Esecuzione automatica\FSScrCtl.exe
C:\Programmi\PopTray\PopTray.exe
C:\WINDOWS\system32\slserv.exe
C:\Programmi\Rainlendar\Rainlendar.exe
C:\Programmi\HELPExpress\bin\mpbtn.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\Documents and Settings\Paola\Desktop\Manutenzione\BUMPER\bumper.exe
C:\Programmi\AnalogX\MaxMem\maxmem.exe
C:\Programmi\Cobian Backup 6\CobBU.exe
C:\Programmi\Cobian Backup 6\cobui.exe
C:\Documents and Settings\Paola\Desktop\Manutenzione\SPIE\HijackThis 1.99.0.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe



<u></u>
alfonso
Inviato: Thursday, May 19, 2005 12:00:46 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
Ciao ,
esegui queste operazioni

1) Disattiva il ripristino di configurazione, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=257&SH=N

2) riavvia in modalità provvisoria, leggi qui come fare
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=344&SH=N

apri HIJAC THIS ed elimina come indicato in questo articolo
http://www.aiutamici.com/software/descrizione.asp?CodSw=1175
le righe che seguono, (nel caso le righe da eliminare non compaiono in modalità provvisoria, eliminale dalla modalità normale e riavvia il computer).

==================================
O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt
==================================

Vai a PANNELLO DI CONTROLLO e clicca su OPZIONI INTERNET
nella finestra che si apre clicca i tre pulsanti
ELIMINA COOKIES - ELIMINA FILE - CANCELLA CRONOOLOGIA


al termine utilizza i programmi AD-AWARE e SPYBOT indicati in questo articolo
http://www.aiutamici.com/software/view.asp?tipo=home&CodSw=388&SH=N

sempre in modalità provvisoria fai una scansione Antivirus

quindi riavvia il computer e controlla se il problema e risolto, se e tutto OK riattiva il ripristino configurazione disattivato all'inizio di questa procedura.


L'Antivirus non sirulta attivo, riattivalo, comunque fai una scansione antivirus on line da questo indirizzo
http://security.symantec.com/default.asp?productid=symhome&langid=it&venid=sym

Collaboratore Aiutamici
9plc
Inviato: Thursday, May 19, 2005 3:40:25 PM
Rank: AiutAmico

Iscritto dal : 11/18/2004
Posts: 206
Gentilissimo Alfonso, ancora una volta sei stato grande!
Ho eliminato il file "cattivo", e alle scansioni di AdAware e Spybot il mio p.c. risulta perfettamente pulito. Solo una cosa non mi è riuscita: la scansione antivirus in modalità provvisoria; ho il Trend Micro PC Cillin e, non so perché, a volte sembra che il "centro sicurezza" non lo rilevi. E comunque non risultano virus.
Ai due-tre riavvii che ho fatto, la finestra relativa al Generic Host Process non è più comparsa, quindi spero proprio che il problema sia risolto.

Non posso che dirti, per l'ennesima volta, GRAZIE!
Ciao

alfonso
Inviato: Thursday, May 19, 2005 4:14:14 PM

Rank: AiutAmico

Iscritto dal : 10/5/2000
Posts: 19,132
L'Antivirus in modalità provvisoria non viene caricato, devi lanciarlo come qualsiasi altro programma dal menu di windows per fare la scansione.

Collaboratore Aiutamici
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.