Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Spoolw.exe igfxsvc.exe in definitiva...come si fa?

2 pages: [1] 2
Spoolw.exe igfxsvc.exe in definitiva...come si fa? Opzioni
Topic Precedente · Topic Sucessivo
cosimhadetto
Inviato: Friday, March 21, 2008 12:55:57 PM

Rank: Newbie

Iscritto dal : 3/21/2008
Posts: 36
Ciao,
ho visitato tanti posts sull'argomento... ma non trovo una soluzione univoca che mi dia la sicurezza nel procedere alla risoluzione...

devo postare log hijack?

vi prego aiutatemi,
grazie tantePray
Torna in alto
 
Sponsor
Inviato: Friday, March 21, 2008 12:55:57 PM

 
Torna in alto
 
cosimhadetto
Inviato: Friday, March 21, 2008 1:40:03 PM

Rank: Newbie

Iscritto dal : 3/21/2008
Posts: 36

Devo aggiungere....

ho fatto scan online con symantec, questo è il risultato (il mio spybot non a nulla di tutto ciò!):

Stato virus: Infettato
Il computer in uso è infettato da almeno un virus o Trojan Horse conosciuto.
Stato virus:

35158 file scansionati, 76 file infettati sulle unità disco.
Non è stato rilevato alcun virus in memoria.

Cercare il nome dei virus elencati di seguito sul sito Web Symantec Security Response per informazioni sulla rimozione.

Attenzione! La scansione ha rilevato un virus attivo nella memoria del computer.
La scansione è stata terminata per evitare l'estendersi dell'infezione al sistema.

È necessario arrestare immediatamente il computer e riavviarlo con un disco di soccorso antivirus o un altro strumento simile.

C:\Programmi\Google\googletoolbar1.dll è infettato con Trojan.Adclicker
C:\Programmi\eMule\lang\Incoming\Ultra ISO 8.0 Premium + crack\crack\keygen.exe è infettato con Trojan.Adclicker
C:\Programmi\File comuni\System\MSASP32.exe è infettato con W32.IRCBot
C:\Documents and Settings\Ste\xXx.exe è infettato con Infostealer.Ldpinch
C:\Documents and Settings\Ste\Documenti\naver.vbs è infettato con Backdoor.Trojan
C:\WINDOWS\rising914.exe è infettato con Trojan Horse
C:\WINDOWS\w32dbg.exe è infettato con SecurityRisk.Downldr
C:\WINDOWS\w32dbg.exe è infettato con Downloader
C:\WINDOWS\iexplore_32.exe è infettato con SecurityRisk.Downldr
C:\WINDOWS\iexplore_32.exe è infettato con Downloader
C:\WINDOWS\CTFRMON.EXE è infettato con Trojan Horse
C:\WINDOWS\rising638.exe è infettato con Trojan Horse
C:\WINDOWS\kulionmf.exe è infettato con Trojan Horse
C:\WINDOWS\rising165.exe è infettato con Trojan Horse
C:\WINDOWS\rising698.exe è infettato con Trojan Horse
C:\WINDOWS\rising755.exe è infettato con Trojan Horse
C:\WINDOWS\rising84.exe è infettato con Trojan Horse
C:\WINDOWS\rising432.exe è infettato con Trojan Horse
C:\WINDOWS\rising524.exe è infettato con Trojan Horse
C:\WINDOWS\rising286.exe è infettato con Trojan Horse
C:\WINDOWS\kulionmf.dll è infettato con Trojan Horse
C:\WINDOWS\Temp\startdrv.exe è infettato con Trojan Horse
C:\WINDOWS\system32\spoolw.exe è infettato con SecurityRisk.Downldr
C:\WINDOWS\system32\spoolw.exe è infettato con Downloader
C:\WINDOWS\system32\vrpp.dll è infettato con Trojan.SpamThru
C:\WINDOWS\system32\igfxsvc.exe è infettato con SecurityRisk.Downldr
C:\WINDOWS\system32\igfxsvc.exe è infettato con Downloader
C:\WINDOWS\system32\shmvq.exe è infettato con Trojan.Flush.A
C:\WINDOWS\system32\kpkov.exe è infettato con Trojan.Flush.A
C:\WINDOWS\system32\bvpqi.exe è infettato con Trojan.Flush.A
C:\WINDOWS\system32\waarj.exe è infettato con Trojan.Flush.A
C:\WINDOWS\system32\ig.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\ck.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\ia.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\rk.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\rg.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\KB33521207.exe è infettato con Trojan.SpamThru
C:\WINDOWS\system32\vu.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\msvcled.dll è infettato con Trojan.Panddos
C:\WINDOWS\system32\SVCH0ST.EXE è infettato con Trojan Horse
C:\WINDOWS\system32\pe.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\al.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\KB83647438.exe è infettato con Trojan Horse
C:\WINDOWS\system32\xc.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\um.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\down.exe è infettato con Backdoor.Trojan
C:\WINDOWS\system32\rd.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\sn.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\vg.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\lp.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\gy.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\uo.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\yl.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\cv.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\KB69262074.exe è infettato con Trojan Horse
C:\WINDOWS\system32\kg.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\mv.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\yt.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\vk.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\KB85169534.exe è infettato con Trojan.Zlob
C:\WINDOWS\system32\KB14410560.exe è infettato con Trojan.Zlob
C:\WINDOWS\system32\KB83367426.exe è infettato con Backdoor.Trojan
C:\WINDOWS\system32\pg.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\bb.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\bm.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\sf.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\we.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\oe.exe è infettato con W32.IRCBot
C:\WINDOWS\system32\KB94184285.exe è infettato con Backdoor.Trojan
C:\WINDOWS\system32\KB73765802.exe è infettato con Trojan.Packed.13
C:\WINDOWS\system32\KB35862658.exe è infettato con Trojan.Packed.13
C:\WINDOWS\system32\KB05895697.exe è infettato con Trojan.SpamThru
C:\WINDOWS\system32\KB_963491.exe è infettato con Downloader
C:\WINDOWS\system32\wlkyl.exe è infettato con Trojan.Flush.A
C:\WINDOWS\system32\drivers\secdrv.sys è infettato con Trojan.Pandex
C:\WINDOWS\system32\drivers\ip6fw.sys è infettato con Trojan.Pandex


...o....mio.....dio...
Torna in alto
 
enigmista63
Inviato: Friday, March 21, 2008 2:17:51 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Shhh Ciao,controlla bene,mi sembra che il file legittimo di windows sia SPOOLSV.EXE e non con la W.
Torna in alto
 
Rudewolf
Inviato: Friday, March 21, 2008 3:36:15 PM

Rank: AiutAmico

Iscritto dal : 5/2/2006
Posts: 6,184
Esatto enigmista.cosimhadetto metti un log di HijackThis.
Torna in alto
 
cosimhadetto
Inviato: Friday, March 21, 2008 6:12:40 PM

Rank: Newbie

Iscritto dal : 3/21/2008
Posts: 36
Ecco hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.42.22, on 20/03/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\System\MSASP32.exe
C:\WINDOWS\System32\down.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\spoolw.exe
C:\WINDOWS\System32\igfxsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\spoolw.exe
C:\WINDOWS\System32\igfxsvc.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Ste\Desktop\vnlt6267.exe
C:\DOCUME~1\Ste\IMPOST~1\Temp\WZSE0.TMP\setup.exe
C:\Documents and Settings\Ste\Desktop\Nuova cartella\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unich.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\SVCH0ST.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\googletoolbar1.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.6.14.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\OUTLOO~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [crtfmon] C:\WINDOWS\CTFRMON.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\System32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\System32\igfxsvc.exe
O4 - HKCU\..\Run: [MSWTL32] C:\WINDOWS\MSATL32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC3FD13A-305C-48EB-BDDA-E2F395B757D8}: NameServer = 213.205.32.70,213.205.36.70
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\System32\vrpp.dll
O21 - SSODL: EHeJzKKQvQ - {B8F0F3E7-125A-594D-5FE9-E17EA60E7CC5} - C:\WINDOWS\system32\rhu.dll
O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\System32\vrpp.dll
O23 - Service: Advance Service Process - Unknown owner - C:\Programmi\File comuni\System\MSASP32.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Windows Accounts Driver (WindowsRemote) - Unknown owner - C:\WINDOWS\System32\down.exe

--
End of file - 5256 bytes
Torna in alto
 
cosimhadetto
Inviato: Friday, March 21, 2008 6:15:37 PM

Rank: Newbie

Iscritto dal : 3/21/2008
Posts: 36

Raga in queste 3 ore ho fatto di tutto

C'è clamwin che ha trovato trojan ma non capisco cosa devo fare una volta completata la scansione

dopo tutti gli scan in modalità provvisoria

ho installato un firewall (quello consigliato dalla guida)

ho eliminato brutalmente i file che avevo segnalato all'inizio....
li ho tolti pure dal regedit

però molto velocemente...non so preso dall'impazienza
Torna in alto
 
cosimhadetto
Inviato: Friday, March 21, 2008 6:17:03 PM

Rank: Newbie

Iscritto dal : 3/21/2008
Posts: 36
hi jack this aggiornato dopo tutte queste operazioni è il seguente




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18.16.43, on 21/03/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\System\MSASP32.exe
C:\WINDOWS\System32\down.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\ClamWin\bin\ClamTray.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Ste\Desktop\Nuova cartella\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unich.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\SVCH0ST.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\googletoolbar1.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.6.14.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [crtfmon] C:\WINDOWS\CTFRMON.EXE
O4 - HKLM\..\Run: [00PCTFW] "C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MSWTL32] C:\WINDOWS\MSATL32.exe
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\System32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\System32\igfxsvc.exe
O4 - HKCU\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC3FD13A-305C-48EB-BDDA-E2F395B757D8}: NameServer = 213.205.32.70,213.205.36.70
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\System32\vrpp.dll
O21 - SSODL: EHeJzKKQvQ - {B8F0F3E7-125A-594D-5FE9-E17EA60E7CC5} - C:\WINDOWS\system32\rhu.dll
O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\System32\vrpp.dll
O23 - Service: Advance Service Process - Unknown owner - C:\Programmi\File comuni\System\MSASP32.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programmi\PC Tools Firewall Plus\FWService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe
O23 - Service: Windows Accounts Driver (WindowsRemote) - Unknown owner - C:\WINDOWS\System32\down.exe

--
End of file - 6315 bytes
Torna in alto
 
cosimhadetto
Inviato: Friday, March 21, 2008 6:20:36 PM

Rank: Newbie

Iscritto dal : 3/21/2008
Posts: 36

ora ho appena fixato i due file presenti su hijack che sospettavo

spoolw e igfxsvc....

pare siano scomparsi....

bhu che ne pensate voi?
Torna in alto
 
Rudewolf
Inviato: Friday, March 21, 2008 6:58:08 PM

Rank: AiutAmico

Iscritto dal : 5/2/2006
Posts: 6,184
Modalità provvisoria va bene ma hai disattivato il ripristino di sistema prima di fare le scansioni?
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\System32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\System32\igfxsvc.exe
Come vedi ci sono ancora.
Comunque aspetta un consiglio da chi è più esperto di me in questo campo.r16,pidue,Alfonso.
Torna in alto
 
r16
Inviato: Friday, March 21, 2008 8:41:48 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Ciao cosimhadetto .
Ti dico subito che sarà dura......molto dura.
Per prima cosa vai a vedere se trovi questa chiavi di registro,e elimina (tasto destro)
la voce in grassetto:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
Se dovesse scomparire il desktop:
Dal task manager scegli nuova operazione e digita explorer.exe
dai l'ok e vedi se il desktop riappare



Assicurati di avere accesso a file e cartelle nascosti
(Pannello di controllo-> Opzioni Cartella-> Visualizzazione)
1) Metti la spunta su: Visualizza file e cartelle nascoste
2) Togli la spunta: nascondi file protetti di sistema

Disattiva il ripristino configurazione di sistema http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80121

Se non sai "fixare"le voci,segui questa guida dettagliata: http://www.aiutaamici.com/software?ID=11175

Avvia in modalità provvisoria http://guide.aiutamici.com/guide?C1=7&C2=68&ID=80122

Avvia hijackthis, metti la spunta alle voci che andrò ad elencarti e con tutte le applicazioni chiuse e disconnesso da Internet,premi su fix checked
O4 - HKLM\..\Run: [crtfmon] C:\WINDOWS\CTFRMON.EXE
O4 - HKCU\..\Run: [MSWTL32] C:\WINDOWS\MSATL32.exe
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\System32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\System32\igfxsvc.exe
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\System32\vrpp.dll
O21 - SSODL: EHeJzKKQvQ - {B8F0F3E7-125A-594D-5FE9-E17EA60E7CC5} - C:\WINDOWS\system32\rhu.dll
O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\System32\vrpp.dll
O23 - Service: Advance Service Process - Unknown owner - C:\Programmi\File comuni\System\MSASP32.exe
O23 - Service: Windows Accounts Driver (WindowsRemote) - Unknown owner - C:\WINDOWS\System32\down.exe

Trova e cancella i file in rosso:
C:\WINDOWS\CTFRMON.EXE
C:\WINDOWS\MSATL32.exe
C:\WINDOWS\System32\spoolw.exe
C:\WINDOWS\System32\igfxsvc.exe
C:\WINDOWS\System32\vrpp.dll
C:\WINDOWS\system32\rhu.dll
C:\Programmi\File comuni\System\MSASP32.exe
C:\Programmi\File comuni\System\MSASP32.exe
C:\WINDOWS\System32\down.exe

Scarica Norman Malware Cleaner,

http://download.norman.no/public/Norman_Malware_Cleaner.exe
Avvia Norman Malware Cleaner e fagli fare la scansione completa. In MODALITA PROVVISORIA.
Viene generato un log sul desktop chiamandolo NFix_2008-03-gg_hh-mm-ss.log, alla fine della scansione caricalo QUI.
Scarica VIRIT :
http://www.tgsoft.it/italy/download.htm lo aggiorni (cliccando sulla parabola in alto) e lo fai girare in Modalità Provvisoria (è molto importante).

Scarica Spy-Bot da qui http://www.aiutaamici.com/software?ID=10831 e fai una scansione sempre in Modalità Provvisoria.

Dai una pulita (registro compreso)con questo http://www.aiutaamici.com/software?ID=11223

Riavvia il computer.




Fai una scansione on-line con questo; http://www.pandasoftware.com/activescan/it/activescan_principal.htm

Ricordati di rinascondere le cartelle di sistema;
Riattiva il ripristino configurazione di sistema e, se tutto è a posto, creane uno nuovo.

Posta un nuovo log.
Torna in alto
 
toro051963
Inviato: Friday, March 21, 2008 9:27:57 PM

Rank: AiutAmico

Iscritto dal : 2/25/2008
Posts: 453
io ho risolto così.
in mod. provvisoria ho cancellato da task manager il contenuto dentro le chiavi qui riportate
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (che fa riferimento al file c:\windows\w32dbg.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe (che fa riferimento al file C:\windows\iexplore_32.exe)

ho pulito le cartelle - temp -temporary internet files - in docum.setting e temp in windows e anche ho pulito la cartella prefetch;

ho lanciato avenger e ho fatto cancellare w32dbg.exe, iexplore_32.exe sotto windows;

avenger non mi ha cancellato (dava error xxxx) spoolw.exe e igfxsvc.exe sotto windows\system32 e che ho dovuto cancellare a mano entrandoci,

in task manager ho fatto file - esegui digitato explorer.exe e dato invio,
nelle stesse cartelle windows e system32 ho creato 'solo lettura' copie di spoolw ed igfxsvc.

riavviato e sorpresa internet explorer non si apre più automaticamente e la linea da mezzora non è mai caduta;

sta girando nuovamente avg e appena posso scarico il firewell che mi hai consigliato (pctools)
Torna in alto
 
r16
Inviato: Friday, March 21, 2008 10:04:47 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Per favore,non facciamo confusione.
Altrimenti cosimhadetto ,non ci capirà niente.
Deve fare la procedura che gli ho indicato.
Torna in alto
 
cosimhadetto
Inviato: Saturday, March 22, 2008 12:05:57 PM

Rank: Newbie

Iscritto dal : 3/21/2008
Posts: 36
Grazie per l'aiuto...
ma perchè sulla pagina di spiegazione di HIjack c'è scritto in rosso di fixare voci solo nel caso in cui siano a.roselli, alfonso, pidue ad autorizzarci a procedere?...Cosa devo fare? mi trovo interdetto perchè r16...non so...posso seguire i tuoi consigli?

Come si può, tra l'altro, contattare anche questi signori per spiegare loro il problema??

grazie ancora
Torna in alto
 
Rudewolf
Inviato: Saturday, March 22, 2008 2:34:39 PM

Rank: AiutAmico

Iscritto dal : 5/2/2006
Posts: 6,184
Puoi seguire tranquillamente i consigli di r16.
Torna in alto
 
cosimhadetto
Inviato: Saturday, March 22, 2008 2:41:56 PM

Rank: Newbie

Iscritto dal : 3/21/2008
Posts: 36
Allora non vorrei cantar troppo presto vittoria ma....

bhe guardate qua:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.41.33, on 22/03/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WgaTray.exe
C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\ClamWin\bin\ClamTray.exe
C:\WINDOWS\hh.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Ste\Desktop\Nuova cartella\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unich.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\googletoolbar1.dll (file missing)
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programmi\BitComet\tools\BitCometBHO_1.1.6.14.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [00PCTFW] "C:\Programmi\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ClamWin] "C:\Programmi\ClamWin\bin\ClamTray.exe" --logon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programmi\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC3FD13A-305C-48EB-BDDA-E2F395B757D8}: NameServer = 213.205.32.70,213.205.36.70
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O21 - SSODL: EHeJzKKQvQ - {B8F0F3E7-125A-594D-5FE9-E17EA60E7CC5} - C:\WINDOWS\system32\rhu.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programmi\PC Tools Firewall Plus\FWService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\pctsSvc.exe
O23 - Service: Windows Accounts Driver (WindowsRemote) - Unknown owner - C:\WINDOWS\System32\down.exe (file missing)

--
End of file - 5510 bytes
Torna in alto
 
cosimhadetto
Inviato: Saturday, March 22, 2008 2:43:15 PM

Rank: Newbie

Iscritto dal : 3/21/2008
Posts: 36
sono pulito come il culo di un bebè?? che ne dite?? grazie ancora r16...

ora mi serve un bel firewall? o cos'altro?
Torna in alto
 
r16
Inviato: Saturday, March 22, 2008 2:58:12 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
No , non sei affatto pulito.

Cerca e trova (in Modalità Provvisoria)questa dll:
C:\WINDOWS\system32\rhu.dll e la elimini.
Poi avvia HijackThis e fixa queste voci:
O23 - Service: Windows Accounts Driver (WindowsRemote) - Unknown owner - C:\WINDOWS\System32\down.exe (file missing)
O21 - SSODL: EHeJzKKQvQ - {B8F0F3E7-125A-594D-5FE9-E17EA60E7CC5} - C:\WINDOWS\system32\rhu.dll
Se la voce 023 non se ne vuole andare dovremo ricorrere alle maniere forti.
Torna in alto
 
cosimhadetto
Inviato: Sunday, March 23, 2008 11:29:27 AM

Rank: Newbie

Iscritto dal : 3/21/2008
Posts: 36

Purtroppo non riesco a trovare un modo per eliminare manualmete rhu.dll ho anche provato ad eliminarlo prima dal registro ma niente... è "già in uso da un altro programma....non so cosa fare per eliminarlo

Grazie ancora r16 attendo istruzioni
Torna in alto
 
r16
Inviato: Sunday, March 23, 2008 5:18:46 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Quando sei andato sulla chiave di registro,hai chiesto le "autorizzazioni per il controllo completo?
Se no,fai cosi:
Start /Esegui/digita regedit/ok/
Segui il percorso di questa chiave:
HKEY_LOCAL_MACHINE\ Software\Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad
Tasto destro sopra la cartella ShellServiceObjectDelayLoad, clicca Autorizzazioni,/Avanzate,/Autorizzazioni/doppio clik su Administrators, (o il tuo Users) e metti la spunta su Controllo completo e dai ok.
Ora dovresti poterla eliminare. Chiaro che non devi cancellare la cartella ShellServiceObjectDelayLoad,ma la DLL che stà all'interno.
La 023 è stata eliminata?
Torna in alto
 
Utenti presenti in questo topic
Guest

2 pages: [1] 2

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » Spoolw.exe igfxsvc.exe in definitiva...come si fa?


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.