MegaLab.it

Inviato: **mer mar 14, 2007 10:32 pm**

Buonasera a tutti! Ho preso un virus che mi viene segnalato incessantemente dal programma ANTIVIR Guard. Tale messaggio mi segnala la presenza di un Heur\malware nel file c:\windows\services.dll.

Leggendo sul vostro forum e in internet ho trovato un altro file strano che e' il services.exe. Ho provato a cancellare il file con il prompt di dos, con il programma KILLBOX, con DELETEDOCTOR senza successo.

Ogni tanto mi trovo una connessione indesiderata chiamata 0202.

Per fortuna ho una connessione WIFI e quindi non puo' fare addebiti strani, ma comunque ha rallentato del tutto il mio pc.

Qualcuno e' cosi' gentile da aiutarmi? Possibilmente con termini non troppo difficili in quanto sono alquanto impacciato in materia. Grazie mille!!! [V]

Inviato: **gio mar 15, 2007 8:59 am**

Anche per le prossime volte ti invito a leggere questa discussione
http://www.MegaLab.it/forum/viewtopic.php?t=29530
e a mandarci un log della scansione di hijackthis tanto per cominciare.
Dobbiamo avere qualche dettaglio su cui poter lavorare.

Inviato: **gio mar 15, 2007 7:58 pm**

Grazie mille per l'interessamento!! Allego il Log di hijackthis:

Ieri ho tolto l'antivir, cosi' non mi da piu' decine e decine di messaggi di heur malware nel file windows\services.dll (NON ARRABBIATEVI, LO SO CHE E' COME SPACCARE UN SENSORE ANTINCENDIO PER NON ESSERE DISTURBATI...)

Grazie per l'aiuto che vorrete darmi !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Logfile of HijackThis v1.98.2
Scan saved at 18.51.13, on 15/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\DRIVERS\WtSrv.exe
C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\svcq32.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\SUPERVISOR\Desktop\94121912.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~2\GNETMOUS.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programmi\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O12 - Plugin for .mpeg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EACC4A6-DC94-4B14-95BA-FAA8C8AE4031}: NameServer = 80.16.158.200
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EACC4A6-DC94-4B14-95BA-FAA8C8AE4031}: NameServer = 80.16.158.200
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

Inviato: **gio mar 15, 2007 8:21 pm**

io credo sia questo
http://www.suspectfile.com/blog/?postid=10
ma non ne sono sicuro

Inviato: **gio mar 15, 2007 8:46 pm**

Qui c'è dell'altro di poco buono.
C:\WINDOWS\svcq32.exe

ti manca anche il Sp2 e quindi i problemi possono essere tanti nel tuo pc.

Suggerisco uno scan online e vediamo quanti virus hai
http://www.kaspersky.com/virusscanner
All fine dello scan salvati il log che contiamo i virus.

Nel log di hijackthis manca il pezzo finale dove ci sono tutti i servizi.

Inviato: **gio mar 15, 2007 8:46 pm**

Adesso provo a connettermi, per adesso grazie !!!!!

Inviato: **gio mar 15, 2007 10:38 pm**

Ho fatto lo scan con Kaspersky. Sono riuscito a cancellare solamente un file relativo ad un Trojan (C:\windows\tanservice.exe). Allego il report completo.

Tra l'altro mi vengono create connessioni 0202 e SFB , probabili dialers-

GRAZIE PER IL VOSTRO AIUTO
KASPERSKY ONLINE SCANNER REPORT
Thursday, March 15, 2007 8:46:30 PM
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 15/03/2007
Kaspersky Anti-Virus database records: 266124
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 42702
Number of viruses found: 1
Number of infected objects: 2 / 0
Number of suspicious objects: 0
Duration of the scan process: 00:47:18

Infected Object Name / Virus Name / Last Action
C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\avg7log.log Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Grisoft\Avg7Data\avg7log.log.lck Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\SUPERVISOR\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\SUPERVISOR\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\SUPERVISOR\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\SUPERVISOR\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\SUPERVISOR\Impostazioni locali\Temp\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\SUPERVISOR\Impostazioni locali\Temp\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\SUPERVISOR\Impostazioni locali\Temp\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\SUPERVISOR\Impostazioni locali\Temp\~DF5CCF.tmp Object is locked skipped
C:\Documents and Settings\SUPERVISOR\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\SUPERVISOR\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\SUPERVISOR\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\_restore{F83425E6-AF19-48E3-9E0F-B16E1E5E21E8}\RP69\A0179942.exe Object is locked skipped
C:\System Volume Information\_restore{F83425E6-AF19-48E3-9E0F-B16E1E5E21E8}\RP70\A0188928.dll Object is locked skipped
C:\System Volume Information\_restore{F83425E6-AF19-48E3-9E0F-B16E1E5E21E8}\RP70\A0188929.exe Object is locked skipped
C:\System Volume Information\_restore{F83425E6-AF19-48E3-9E0F-B16E1E5E21E8}\RP71\A0192148.exe Infected: Trojan.Win32.Dialer.qn skipped
C:\System Volume Information\_restore{F83425E6-AF19-48E3-9E0F-B16E1E5E21E8}\RP71\change.log Object is locked skipped
C:\WINDOWS\Debug\oakley.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat Object is locked skipped
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\svcj16.exe Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\tanservice.exe Infected: Trojan.Win32.Dialer.qn skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped

Scan process completed.

Inviato: **gio mar 15, 2007 11:23 pm**

disattiva il ripristino di configurazione di sistema, efai una scansione online con l'f-secure

Inviato: **ven mar 16, 2007 12:07 am**

sto facendo lo scanning con F SECURE ONLINE.

Per ora grazie di tutto !!

Inviato: **ven mar 16, 2007 9:07 am**

Anche questo è da eliminare.
C:\WINDOWS\system32\svcj16.exe Object is locked skipped

Inviato: **ven mar 16, 2007 3:30 pm**

crazy.cat ha scritto:Anche questo è da eliminare.
C:\WINDOWS\system32\svcj16.exe Object is locked skipped

Sembra essere un file relativo alla web cam, forse della vivanco.

Ciao ildelpi.
Mi vorresti spiegare che cosa non hai capito dalleindicazioni di bReAKdOWn su suspectfile? E soprattutto perché a passare di 10 giorni hai deciso di aprire anche qui una discussione sullo stesso problema (tra altro trattato bene e risolto)?

Ti vorrei ricordare che tutti noi siamo i volontari che dedicano il proprio tempo libero (come se ce ne fosse tanto...) per potervi aiutare, e coinvolgere più persone nel risolvimento dello stesso problema indica il mancato rispetto verso queste persone e verso ciò che fanno. [nonono]

Inviato: **ven mar 16, 2007 7:33 pm**

Ciao Crazy Cat. Purtroppo sono alle prime armi e quindi non sono riuscito a trovare l'interessate discussione che tratta proprio i files sospetti del mio pc. Tra l'altro senza tale aiuto non sarei riuscito a capire che per avenger non basta inserire il percorso del file... Vi ringrazio del tempo che state dedicando per aiutarmi, tra l'altro chi interviene ha una professionalita' che non ho trovato in nessun programmatore a pagamento....

Ho fatto la cancellazione con avenger. Il programma F- Secure online e' stato strepitoso ma SI E' PIANTATO in fase di cancellazione files... disdetta!!

Adesso cancello anche i files indicatomi nelle risposte precedenti.

Cosa posso fare adesso ?

Grazie !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Inviato: **ven mar 16, 2007 7:38 pm**

ildelpi ha scritto:Cosa posso fare adesso ?

Rispondere alla mia domanda [grazie]

Non è nella mia abitudine perdere il tempo facendo le domande ritoriche [nonono]

Amantide prima ha scritto:Mi vorresti spiegare che cosa non hai capito dalleindicazioni di bReAKdOWn su suspectfile? E soprattutto perché a passare di 10 giorni hai deciso di aprire anche qui una discussione sullo stesso problema (tra altro trattato bene e risolto)?

Inviato: **ven mar 16, 2007 7:46 pm**

non e' che non avevo capito... e' che stai dando per scontato che io avessi trovato tale pagina! Non l'avevo trovata in quanto non sapevo il nome del virus prima del vostro intervento...

Contenta?

grazie

Inviato: **ven mar 16, 2007 8:39 pm**

ildelpi ha scritto:non e' che non avevo capito... e' che stai dando per scontato che io avessi trovato tale pagina! Non l'avevo trovata in quanto non sapevo il nome del virus prima del vostro intervento...

Pagina? ma di cosa stai parlando?

Contenta?

Qui non si tratta di far contenta me o qualcun' altro ma di coerenza.
E ti vorrei ricordare che questo non è un modo appropriato per rispondere ad un Moderatore.

Inviato: **ven mar 16, 2007 9:21 pm**

Non avevo trovato prima le indicazioni di bReAKdOWn su suspectfile... E tra l'altro nemmeno altri utenti mi hanno dato tale indicazione. Adesso sono quasi a posto e ringrazio anche te per i preziosi suggerimenti.

Domanda: questo tuo tono polemico e' dovuto ad una necessita' di far incrementare il numerino di contatti che compare di fianco al tuo nik name o e' puramente una classicissima sindrome premestruale?

Un saluto a tutti.

Inviato: **ven mar 16, 2007 11:17 pm**

no... questo non è un gran bel modo di trattare con un utente (moderatrice poi) che non ti deve nulla, anzi ti aiuta a risolvere i tuoi problemi. se devi rispondere così, almeno prenditi la premura di non chiedere aiuto su questo forum... [...]

Inviato: **ven mar 16, 2007 11:59 pm**

Gentilissimo redattore, capisco la difesa ad oltranza dei collaboratori e per certi versi la condivido. Ma rileggendo i vari passaggi del forum e' evidente un comportamento educato da parte mia e dei primi utenti che hanno risposto, contrapposto a un linguaggio aggressivo e non consono ad una moderatrice. Proprio in quanto tale dovrebbe vigilare sulle buone intenzioni di chi si approccia per la prima volta al vostro e non aggredire chi chiede aiuto prendendolo in giro (vedi commento a "pagina?" etc.. etc...). La cortesia e' una dote in via di estinzione e a volte il potere, per piccolo che sia, viene esercitato nella maniera piu' sbagliata, magari per sfogare le proprie frustrazioni.

Cordiali saluti.

Inviato: **sab mar 17, 2007 12:02 am**

voglio evitare flames inutili, quindi non rispondo [nonono]

Inviato: **sab mar 17, 2007 11:05 am**

almeno chiedere scusa invece di insistere no comunque io se fossi moderetore avrei già fatto una cosa a ildelpi ma dato che nn tocca a me deciderlo... e comunque do ragione sia ad amantide e a BilloKenobi

MegaLab.it

HEUR\malware - SERVICES.DLL

HEUR\malware - SERVICES.DLL

aggiunta del LOG DI HIJACKTHIS : HELP !!!

KASPERSKY REPORT

f secure