Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

fsquirt.exe falso virus? Opzioni
lukeluke
Inviato: Monday, December 12, 2011 5:22:28 PM
Rank: AiutAmico

Iscritto dal : 6/8/2011
Posts: 317
Ciao a tutti. Oggi il mio Malwarebytes ha individuato questo file :c:\WINDOWS\system32\fsquirt.exe .
Lo considera un Troyan.Dropper.Ma cercando il file mi dice che l'ultima modifica è stata fatta nel 2008, quando invece io ho formmattato il pc il mese scorso.Avendolo formattato il file non avrebbe dovuto avere una datazione più recente,se fosse un file di sistema?
Facendo ricerce in rete,molti dicono che la sua posizione corretta sia in system32. Non so come comportami.
Vi mando in log di Hijackthis.Un salutone e grazie!
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17.15.06, on 12/12/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17099)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\lxczcoms.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programmi\Lexmark 1200 Series\lxczbmgr.exe
C:\Programmi\Lexmark 1200 Series\lxczbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Malwarebytes' Anti-Malware\mbam.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [lxczbmgr.exe] "C:\Programmi\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programmi\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programmi\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: lxcz_device - - C:\WINDOWS\system32\lxczcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6612 bytes
Sponsor
Inviato: Monday, December 12, 2011 5:22:28 PM

 
francescoamato
Inviato: Monday, December 12, 2011 5:28:27 PM
Rank: AiutAmico

Iscritto dal : 11/19/2011
Posts: 78
Ripristina il file rilevato da malwarebytes, è un falso positivo, non è nocivo anzi..
http://www.processlibrary.com/it/directory/files/fsquirt/29081/

Dal log di Hijackthis l'unica voce sospetta che vedo è questa, attendi cbbusto per conferma:
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

Comunque se Malwarebytes e avira non l'hanno rilevato (monitor.exe intendo) non è un virus, vai tranquillo.

Per sentirti più sicuro fai una scansione completa con avira aggiornato.

Francesco
lukeluke
Inviato: Monday, December 12, 2011 7:43:53 PM
Rank: AiutAmico

Iscritto dal : 6/8/2011
Posts: 317
Ciao! Grazie mille! Quindi lo ripristino.Ma alla prossima scansione Malwarebites lo rileverà di nuovo....Mi converrà metterlo nella IGNORE LIST?
Monitor.exe è un driver della mia webcam Trust...infatti sparisce ogni volta che disinstallo i drivers :-)
pidue
Inviato: Monday, December 12, 2011 7:55:31 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
lukeluke ha scritto:
Monitor.exe è un driver della mia webcam Trust...infatti sparisce ogni volta che disinstallo i drivers :-)

Fixando la riga 04 suggerita da francesco lo togli dall'avvio automatico. La webcam rimmarà integra, ma si avvierà solo su richiesta.



lukeluke
Inviato: Tuesday, December 13, 2011 10:00:44 AM
Rank: AiutAmico

Iscritto dal : 6/8/2011
Posts: 317
Riguardo fsquirt.exe invece, come mi comporto? Se lo ripristino,Malwarebites me lo rileverà ancora come falso positivo alla prossima scansione? Lo metto quindi nella Ignore list?
Riguardo Monitor.exe,non sapevo che Fixare volesse dire semplicemente disattivare all'avvio.Pensavo significasse DISATTIVARE e basta :-)
Un salutone e grazieee :-)
cbbusto
Inviato: Tuesday, December 13, 2011 11:02:39 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ciao, precisazione,
fixare vuol dire selezionare una voce ed eliminarla compreso sw e contenuto, mentre per le voci 04, che riguardano i programmi che sono in avvio automatico, viene eliminata la voce del log ma non il programma, viene solo disattivato l'avvio automatico quando ti serve lo avvii in manuale, questo serve per velocizzare l'avvio del S.O.
lukeluke
Inviato: Wednesday, December 14, 2011 11:12:38 AM
Rank: AiutAmico

Iscritto dal : 6/8/2011
Posts: 317
Strano fenomeno: Ho ripristinato fsquirt.exe usando Malwarebites.Successivamente ho riprovato a fare la scansione. Ma tornato al pc ho trovato la scansione terminata,senza alcun virus trovato.Ho trovato invece un messaggio di Avira. Trovato virus AA0007517.exe situato in SYSTEM VOLUME INFORMATION, classificato come cavallo di Troia TR/trash.Gen. Attualmente è in quarantena.Lo elimino? Che sia lo stesso di fsquirt.exe? Grazie :-)
cbbusto
Inviato: Wednesday, December 14, 2011 2:19:50 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Ciao, hai questo sw inutile, se non lo conosci eliminalo:
C:\WINDOWS\system32\IoctlSvc.exe
Poi fai una pulizia con Ccleaner compreso il registro.
Fai questa scansione:
Start/Esegui e digita MRT dai ok e attendi il risultato. Speak to the hand
lukeluke
Inviato: Monday, December 19, 2011 4:29:13 PM
Rank: AiutAmico

Iscritto dal : 6/8/2011
Posts: 317
Ciao amico. Riguardo MRT ho scansionato e non ha trovato alcun virus.
Ho due domande da farti:
1) Cosa faccio del virus AA0007517.exe situato in SYSTEM VOLUME INFORMATION, classificato come cavallo di Troia TR/trash.Gen? Attualmente in quaratena Avira.Lo cancello?
2) Riguardo C:\WINDOWS\system32\IoctlSvc.exe, non so cosa sia onestamente. E' presente però un'altro post al seguente link: http://forum.aiutamici.com/yaf_postst74569_info-su-IoctlSvcexe.aspx In questo link miticoalex riscontrava lo stesso problema,ma si decise di non cancellare il file. E' anche il mio caso?
Un salutone!
cbbusto
Inviato: Monday, December 19, 2011 7:19:29 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Allora per quanto riguarda il file in quarantena lo puoi eliminare.
L'altro IoctlSvc.exe dovrebbe essere un'applicazione della Prolific Technology, non so se conosci questa società,
potrebbe riguardare anche Nero BackItUp, Backup4 o PLFlash Device Io Control, se l'applicazione ti è sconosciuta, non essendo un file di Sistema lo puoi eliminare seguendo il percorso del file:
C:\WINDOWS\system32\IoctlSvc.exe, poi pulisci il Registro con Ccleaner. Ciao
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.