Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Errore in services.exe

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Errore in services.exe

Messaggioda brando125 » ven gen 13, 2006 7:18 pm

Salve da qualche tempo si verifica frequentemente un avviso di windows xp con questo messaggio:

Si è verificato un errore in SERVICES.EXE. L'applicazione verrà chiusa.

penso si tratti di un virus Mydoom oppure Netsky
ma facendo la scansione specifica contro questa due virus con Symantec non me li ha rilevati e nemmeno la scansione con avast 4.6.

la mia scansione con hijackthis è questa:

Logfile of HijackThis v1.98.2
Scan saved at 19.18.18, on 13/01/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\NVATray.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\SERVICES.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\SERVICES.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Fabrizio 2\Desktop\Sicurezza\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui


grazie e spero in una vostra mano.
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm

Re: Errore in services.exe

Messaggioda crazy.cat » ven gen 13, 2006 7:27 pm

Se guardi il tuo log ci sono due services.exe, il secondo è il cattivone.
C:\WINDOWS\system32\services.exe
C:\WINDOWS\SERVICES.EXE

Cancella queste righe e controlla che sparisca il file indicato in rosso
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE

Il tutto dalla modalità provvisoria.

Hai tagliato un gran pezzo del log, la prossima volta postalo tutto quanto.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda brando125 » ven gen 13, 2006 7:42 pm

grazie mille, una domanda scema ma per avviare la modalità provvisoria devo avviare il pc col cd di windows?o se no dimmi tu!!grazie
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm


Messaggioda crazy.cat » ven gen 13, 2006 7:55 pm

Niente cd di windows, quando parte il pc premi F8 quasi subito e poi dal menù che appare scegli Avvio in modalità provvisoria.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda brando125 » ven gen 13, 2006 8:55 pm

ho fatto come hai detto ma gli oggetti da togliere sono di nuovo li,nn si levano con hijackthis.
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm

Messaggioda crazy.cat » sab gen 14, 2006 8:25 am

prova a cancellare tu il file exe dalla modalità provvisoria.
Prova anche a fare una scansione dei virus
http://www.MegaLab.it/2333
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda brando125 » sab gen 14, 2006 2:05 pm

se provo a cancellare il file services.exe locato in c:\windows mi da accesso negato perche il file è in uso, se provo a interrompere l'uso da task manager mi da anche li un messaggio di blocco perche dice che è un processo critico e nn si puo interrompere!!!
fatti non foste per viver come bruti....
Avatar utente
brando125
Senior Member
Senior Member
 
Messaggi: 151
Iscritto il: gio nov 20, 2003 4:14 pm

Messaggioda crazy.cat » sab gen 14, 2006 5:19 pm

brando125 ha scritto:se provo a cancellare il file services.exe locato in c:\windows mi da accesso negato perche il file è in uso

Anche dalla modalità provvisoria?

Hai provato a fare la scansione dei virus?

Prova a cancellare il file usando questo sistema
http://www.MegaLab.it/2427
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda piri&bubi » lun gen 23, 2006 4:41 pm

ciao a tutti, io ho lo stesso errore e non riesco proprio a toglierlo

Logfile of HijackThis v1.99.1
Scan saved at 16.38.53, on 23/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\HPQ\One-Touch\OneTouch.EXE
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\SurfAccuracy\SAcc.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoFXM08.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\ZipGenius 5\zipgenius.exe
C:\DOCUME~1\VALENT~1\IMPOST~1\Temp\ZGTemp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programmi\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [QT4HPOT] C:\Programmi\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
O4 - HKLM\..\Run: [WINDOWSflashbrg] C:\WINDOWS\sqldata1.exe
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programmi\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp officejet 4100 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe

come posso fare???
Avatar utente
piri&bubi
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: lun gen 23, 2006 4:34 pm

Messaggioda crazy.cat » lun gen 23, 2006 4:54 pm

Prova a caricare il file exe sul sito www.virustotal.com e scriviti il nome del virus, o prendi uno screenshot della pagina e poi lo alleghi alla discussione.
Almeno conoscendo il suo nome si può andare a capire di più.
Altrimenti cancella queste righe, qui sotto, selezioni con delete doctor
http://www.MegaLab.it/2427
il file exe e riavvii subito il pc e vediamo cosa succede.
piri&bubi ha scritto:F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE


Qui ci sono degli altri problemi, cancella le righe e controlla di eliminare anche i file exe.
piri&bubi ha scritto:O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe
O4 - HKLM\..\Run: [WINDOWSflashbrg] C:\WINDOWS\sqldata1.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programmi\SurfAccuracy\SAcc.exe


Conosci questo programma?
Codice: Seleziona tutto
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda piri&bubi » lun gen 23, 2006 5:02 pm

o mamma tutto questo e' arabo per me [boxed] [boxed] [boxed]
Avatar utente
piri&bubi
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: lun gen 23, 2006 4:34 pm

Messaggioda crazy.cat » lun gen 23, 2006 5:08 pm

Una passo alla volta e facciamo tutto quanto.

Vai sul sito virustotal, premi Sfoglia che trovi nel sito e vai nella cartella c:\windows e trovi il file SERVICES.EXE, poi premi Send, aspetti qualche secondo che venga caricato il file e alla fine ti mostreranno una maschera con una serie di nomi di virus che saranno stati trovati in quel file.
Segnati i nomi, o il nome e poi li scrivi.
Lascia perdere lo screenshot.

Intanto troviamo il nome del virus e poi ti spiego meglio il resto.
Anche perché fra poco ho finito di lavorare e devo uscire.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda piri&bubi » lun gen 23, 2006 5:53 pm

ecco cosa e' uscito:

a
Este es el resultado de analizar el archivo "services.exe" que VirusTotal ha procesado el dia 23/01/2006 a las 17:18:11 (CET).

Antivirus Version Actualización Resultado
AntiVir 6.33.0.77 23.01.2006 TR/Dldr.Agent.ZF.13
Avast 4.6.695.0 23.01.2006 Win32:Agent-EY
AVG 718 23.01.2006 Downloader.Agent.AUR
Avira 6.33.0.77 23.01.2006 TR/Dldr.Agent.ZF.13
BitDefender 7.2 23.01.2006 Trojan.Downloader.Agent.L
CAT-QuickHeal 8.00 23.01.2006 (Suspicious) - DNAScan
ClamAV devel-20051123 21.01.2006 Trojan.Downloader.Agent-260
DrWeb 4.33 23.01.2006 Trojan.StartPage.1115
eTrust-InoculateIT 23.71.57 22.01.2006 Win32/Secdrop.7013!Trojan
eTrust-Vet 12.4.2053 23.01.2006 no ha encontrado virus
Ewido 3.5 23.01.2006 Downloader.Agent.zf
Fortinet 2.54.0.0 22.01.2006 W32/Agent.ZF!tr
F-Prot 3.16c 20.01.2006 could be infected with an unknown virus
Ikarus 0.2.59.0 23.01.2006 no ha encontrado virus
Kaspersky 4.0.2.24 23.01.2006 Trojan-Downloader.Win32.Agent.zf
McAfee 4679 20.01.2006 Generic Downloader.g
NOD32v2 1.1375 23.01.2006 a variant of Win32/TrojanDownloader.Agent.ZF
Norman 5.70.10 23.01.2006 no ha encontrado virus
Panda 9.0.0.4 23.01.2006 Trj/Downloader.GEH
Sophos 4.01.0 23.01.2006 Troj/Agent-ZF
Symantec 8.0 23.01.2006 no ha encontrado virus
TheHacker 5.9.2.079 23.01.2006 Trojan/Downloader.Agent.zf
UNA 1.83 21.01.2006 TrojanDownloader.Win32.Agent
VBA32 3.10.5 23.01.2006 Trojan-Downloader.Win32.Agent.zf
Avatar utente
piri&bubi
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: lun gen 23, 2006 4:34 pm

Messaggioda piri&bubi » lun gen 23, 2006 5:55 pm

ecco cosa e' uscito:

a
Este es el resultado de analizar el archivo "services.exe" que VirusTotal ha procesado el dia 23/01/2006 a las 17:18:11 (CET).

Antivirus Version Actualización Resultado
AntiVir 6.33.0.77 23.01.2006 TR/Dldr.Agent.ZF.13
Avast 4.6.695.0 23.01.2006 Win32:Agent-EY
AVG 718 23.01.2006 Downloader.Agent.AUR
Avira 6.33.0.77 23.01.2006 TR/Dldr.Agent.ZF.13
BitDefender 7.2 23.01.2006 Trojan.Downloader.Agent.L
CAT-QuickHeal 8.00 23.01.2006 (Suspicious) - DNAScan
ClamAV devel-20051123 21.01.2006 Trojan.Downloader.Agent-260
DrWeb 4.33 23.01.2006 Trojan.StartPage.1115
eTrust-InoculateIT 23.71.57 22.01.2006 Win32/Secdrop.7013!Trojan
eTrust-Vet 12.4.2053 23.01.2006 no ha encontrado virus
Ewido 3.5 23.01.2006 Downloader.Agent.zf
Fortinet 2.54.0.0 22.01.2006 W32/Agent.ZF!tr
F-Prot 3.16c 20.01.2006 could be infected with an unknown virus
Ikarus 0.2.59.0 23.01.2006 no ha encontrado virus
Kaspersky 4.0.2.24 23.01.2006 Trojan-Downloader.Win32.Agent.zf
McAfee 4679 20.01.2006 Generic Downloader.g
NOD32v2 1.1375 23.01.2006 a variant of Win32/TrojanDownloader.Agent.ZF
Norman 5.70.10 23.01.2006 no ha encontrado virus
Panda 9.0.0.4 23.01.2006 Trj/Downloader.GEH
Sophos 4.01.0 23.01.2006 Troj/Agent-ZF
Symantec 8.0 23.01.2006 no ha encontrado virus
TheHacker 5.9.2.079 23.01.2006 Trojan/Downloader.Agent.zf
UNA 1.83 21.01.2006 TrojanDownloader.Win32.Agent
VBA32 3.10.5 23.01.2006 Trojan-Downloader.Win32.Agent.zf
Avatar utente
piri&bubi
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: lun gen 23, 2006 4:34 pm

Messaggioda piri&bubi » lun gen 23, 2006 5:58 pm

ecco cosa e' uscito:

a
Este es el resultado de analizar el archivo "services.exe" que VirusTotal ha procesado el dia 23/01/2006 a las 17:18:11 (CET).

Antivirus Version Actualización Resultado
AntiVir 6.33.0.77 23.01.2006 TR/Dldr.Agent.ZF.13
Avast 4.6.695.0 23.01.2006 Win32:Agent-EY
AVG 718 23.01.2006 Downloader.Agent.AUR
Avira 6.33.0.77 23.01.2006 TR/Dldr.Agent.ZF.13
BitDefender 7.2 23.01.2006 Trojan.Downloader.Agent.L
CAT-QuickHeal 8.00 23.01.2006 (Suspicious) - DNAScan
ClamAV devel-20051123 21.01.2006 Trojan.Downloader.Agent-260
DrWeb 4.33 23.01.2006 Trojan.StartPage.1115
eTrust-InoculateIT 23.71.57 22.01.2006 Win32/Secdrop.7013!Trojan
eTrust-Vet 12.4.2053 23.01.2006 no ha encontrado virus
Ewido 3.5 23.01.2006 Downloader.Agent.zf
Fortinet 2.54.0.0 22.01.2006 W32/Agent.ZF!tr
F-Prot 3.16c 20.01.2006 could be infected with an unknown virus
Ikarus 0.2.59.0 23.01.2006 no ha encontrado virus
Kaspersky 4.0.2.24 23.01.2006 Trojan-Downloader.Win32.Agent.zf
McAfee 4679 20.01.2006 Generic Downloader.g
NOD32v2 1.1375 23.01.2006 a variant of Win32/TrojanDownloader.Agent.ZF
Norman 5.70.10 23.01.2006 no ha encontrado virus
Panda 9.0.0.4 23.01.2006 Trj/Downloader.GEH
Sophos 4.01.0 23.01.2006 Troj/Agent-ZF
Symantec 8.0 23.01.2006 no ha encontrado virus
TheHacker 5.9.2.079 23.01.2006 Trojan/Downloader.Agent.zf
UNA 1.83 21.01.2006 TrojanDownloader.Win32.Agent
VBA32 3.10.5 23.01.2006 Trojan-Downloader.Win32.Agent.zf
Avatar utente
piri&bubi
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: lun gen 23, 2006 4:34 pm

Messaggioda crazy.cat » lun gen 23, 2006 7:36 pm

piri&bubi ha scritto:Symantec 8.0 23.01.2006 no ha encontrado virus

Norton non si smentisce mai....

Rifai la scansione con hijackthis e metti il flag nelle caselline che ti ho indicato e premi fix.
Leggi l'articolo che ti ho indicato e usando il programma delete doctor, selezioni i file exe SERVICES.EXE,lsasss.exe,sqldata1.exe,SAcc.exe

Usando la ricerca file di windows controlla se hai nel computer uno o più file chiamati del.bat, se ci sono li cancelli tutti.

Fatto questo riavvii il computer subito e poi rifai la scansione con hijackthis e vedi se sono ricomparse le righe e i file che hai cancellato prima.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda piri&bubi » mar gen 24, 2006 10:20 am

dio e' incredibile ci sono ancora, li ho cancellati co delete dr [cry] [cry] [cry]

guarda dopo l'ennesimo hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 11.02.07, on 24/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\HPQ\One-Touch\OneTouch.EXE
C:\Programmi\IPM\Adsl\DataWay\dslstat.exe
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\SurfAccuracy\SAcc.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Bin\hpoFXM08.exe
C:\Programmi\ZipGenius 5\zipgenius.exe
C:\DOCUME~1\VALENT~1\IMPOST~1\Temp\ZGTemp\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programmi\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programmi\File comuni\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [QT4HPOT] C:\Programmi\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Programmi\IPM\Adsl\DataWay\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programmi\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp officejet 4100 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe

praticamente mi ha tolto solo:
04 - HKLM\..\Run:[Isasss.exe]C:\windows\isasss.exe
04 - HKLM\..\Run:[WINDOWSflashbrg]C:\windows\sqldata1.exe

che fare??? [cry] [cry] [cry]
Avatar utente
piri&bubi
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: lun gen 23, 2006 4:34 pm

Messaggioda crazy.cat » mar gen 24, 2006 11:54 am

piri&bubi ha scritto:che fare??? [cry] [cry] [cry]

C'è qualche altra bestiolina che li ricrea allora.

Disattiva anche il ripristino della configurazione prima di fare la scansione dei virus
http://www.MegaLab.it/2330

Prova a fare una scansione dalla modalità provvisoria (premi F8 all'avvio del pc) con questo sistema
http://www.MegaLab.it/2333
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda MindRape » lun giu 26, 2006 12:36 pm

Allora, io sono nuovossimo in questo forum, e approfitto di questo messaggio per salutare tutti...ho approfittato un paio di vote dei vosrtri consigli senza registrarmi, ma ora ritorno il favore..o almeno spero:

il W32/downloader/agent.zf e' la bestia che mi ha tenuto in giro su internet alla ricerca di una cura per 2 giorni (non pieni, ma due giorni),
nessun sito dice esattamente come fare, o almeno non quelli che ho visto io, pero' sono riuscito a ammazzare il bas***do seguendo la procedura riportata sopra e in altri topic in sintesi:

1 DISABILITARE il system restore di window (e' molto importante)
2 riavviare e poi iniziare con quanto scritto sopra

io ho fatto cosi'....
Avatar utente
MindRape
Neo Iscritto
Neo Iscritto
 
Messaggi: 1
Iscritto il: lun giu 26, 2006 2:21 am

Messaggioda Amantide » lun giu 26, 2006 2:23 pm

MindRape ha scritto:
1 DISABILITARE il system restore di window (e' molto importante)
2 riavviare e poi iniziare con quanto scritto sopra


Hai perfettamente ragione. Disattivare il ripristino delle configurazioni di sitema è la prima cosa da fare prima di eliminare i malware vari. Purtroppo non se lo ricorda mai nessuno. (a dire il vero a volte me lo scordo anche io [fischio] )
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 12 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising