Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Task manager : file presenti sconosciuti

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Task manager : file presenti sconosciuti

Messaggioda ikuape88 » gio ago 03, 2006 9:22 am

Salve, mi sono appena iscritto a questo forum perche' ho un problema.

in pratica ieri ho preso una specie di spyware : mi appariva lnella barrad elle applicazioni , in bassso a destra un cerchietto con una x bianca e mi diceva : your computer is in danger...

sono riuscito a risolverlo , andando in modalita provvisoria e avviando spyboat s&destroy.

adesso ho un altro problema..

dopo aver riattivato il task manager (era stato disattivato dallo stesso spyware) ho subito guardato la lista dei processi attivi....

bene da allora ci sono alcuni processi che non capisco.... per esempio:
c'e IEXPLORE.exe anche quando il browser è chiuso e lo mette sotto il nome utente di system....

poi è apparso anche questo art84cd.tmp sempre system come n utente.

ho fatto la scansione con hjackthis , .. spero nel vs aiuto....

____________________________________________________

ogfile of HijackThis v1.99.1
Scan saved at 10.10.07, on 03/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Mixer.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\System32\spoolsvv.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\TEMP\art84CD.tmp
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\hijackthis\HijackThis.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P41 "EPSON Stylus Photo RX420 Series (Copia 1)" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Programmi\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programmi\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [E06IXLRD_24340125] "C:\Programmi\Microsoft Encarta\Microsoft Encarta Enciclopedia DVD - 2006\EDICT.EXE" -m
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programmi\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programmi\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Aggiungi l'indirizzo alla Lista Nera della pubblicità - C:\Programmi\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Apri tutti i collegamenti nella pagina in linguette diverse - C:\Programmi\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Blocca tutte le immagini provenienti dal server di questa - C:\Programmi\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto Control) - http://www.sava.it/configuratore/configuratoreauto.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.trafficredlight.net/10305-23.exe
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F7FD91D1-45E6-4349-B698-F976062DAC26} - http://www.storage-tasp.com/gs/gsa1610.exe
O16 - DPF: {FBFF6F10-A2FC-9544-745F-A1F75A0501AE} - http://www.italian-toplist.com/cart/gs/gsa_00119.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{44237A47-CBFE-460A-B53D-452C4EE4FCBC}: NameServer = 195.130.224.18,195.130.225.129
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documenti\Settings\artm_new.dll
O20 - Winlogon Notify: winrkp32 - C:\WINDOWS\SYSTEM32\winrkp32.dll
O21 - SSODL: DCOM Server 2240 - {2C1CD3D7-86AC-4068-93BC-A02304BB2240} - C:\WINDOWS\System32\2240_28.dll (file missing)
O21 - SSODL: sQpnkFI - {28E9AB1A-8243-01B0-0E40-8F545E0AD85F} - C:\WINDOWS\System32\bw.dll
O21 - SSODL: hksrv.dll - {C0E2BEAB-D792-4167-BE91-B26420DD5BA7} - hksrv.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi28758.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
_____________________________________________________

grazie [applauso]
Avatar utente
ikuape88
Neo Iscritto
Neo Iscritto
 
Messaggi: 18
Iscritto il: gio ago 03, 2006 9:14 am

Messaggioda andorra24 » gio ago 03, 2006 10:10 am

Ciao, apri hijackthis, premi su ''open the misc tools section'', poi premi ''open process manager'', individua le voci indicate sotto e premi ''kill process'':

C:\WINDOWS\System32\spoolsvv.exe
C:\WINDOWS\TEMP\art84CD.tmp

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'' :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 (se non usi proxy puoi eliminarla)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.trafficredlight.net/10305-23.exe
O16 - DPF: {F7FD91D1-45E6-4349-B698-F976062DAC26} - http://www.storage-tasp.com/gs/gsa1610.exe
O16 - DPF: {FBFF6F10-A2FC-9544-745F-A1F75A0501AE} - http://www.italian-toplist.com/cart/gs/gsa_00119.exe
O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documenti\Settings\artm_new.dll
O20 - Winlogon Notify: winrkp32 - C:\WINDOWS\SYSTEM32\winrkp32.dll
O21 - SSODL: DCOM Server 2240 - {2C1CD3D7-86AC-4068-93BC-A02304BB2240} - C:\WINDOWS\System32\2240_28.dll (file missing)
O21 - SSODL: sQpnkFI - {28E9AB1A-8243-01B0-0E40-8F545E0AD85F} - C:\WINDOWS\System32\bw.dll
O21 - SSODL: hksrv.dll - {C0E2BEAB-D792-4167-BE91-B26420DD5BA7} - hksrv.dll (file missing)
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\System32\aspi28758.exe (file missing)

Scarica ATF Cleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
(rimozione file temporanei) e mettilo sul desktop. Avvia ATF cleaner,clicca sul menu "main" e poi seleziona la casella "Select All". Adesso clicca sul pulsante "Empty selected" e aspetta il messaggio "Done Cleaning!".

Scarica killbox da qui:
http://www.bleepingcomputer.com/files/killbox.php
Con killbox elimina i seguenti files:

C:\WINDOWS\System32\spoolsvv.exe
C:\WINDOWS\TEMP\art84CD.tmp
C:\Windows\xpupdate.exe
C:\Documents and Settings\All Users\Documenti\Settings\artm_new.dll
C:\WINDOWS\SYSTEM32\winrkp32.dll
C:\WINDOWS\System32\bw.dll

Fai una scansione con ewido:
http://www.grisoft.cz/softw/70/filedir/ ... 0.172c.exe
Avatar utente
andorra24
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: ven mag 19, 2006 10:30 pm

file strani

Messaggioda ikuape88 » gio ago 03, 2006 11:21 am

allora...innanzitutto grazie per la risposta velocissima....

ho fatto tutto quello che mi hai detto tranne ewido.

mi è stato impossibile fare il ill process di art84CD.tmp, poichè mi da questo messaggio d'errore :"the selected process could not be killed. it may have already closed , or it may be protected by windows.

this process might be a service, which you can stop from the Services applet in Admin Tools.
(to load this window, click start , run and enter 'services.msc')"

poi

ho eliminato tutte le voci da selezionare con le caselline mentre non sono riuscito a eliminarealtri file:

art84cd.tmp nn puo essere eliminato
xpupdate nn esiste
artm_new.dll nn puo essere eliminato
winrkp32.dll nn puo essere eliminato

probabilmente lo devo fare in modalita provvisoria?

attendo risposta

grazie
ciao
[8D]
Avatar utente
ikuape88
Neo Iscritto
Neo Iscritto
 
Messaggi: 18
Iscritto il: gio ago 03, 2006 9:14 am


Messaggioda andorra24 » gio ago 03, 2006 11:30 am

I files che non sei riuscito ad eliminare prova ad eliminarli in modalita' provvisoria. Puoi tentare anche con delete doctor:
http://www.MegaLab.it/2427 o con unlocker:
http://ccollomb.free.fr/unlocker/
Avatar utente
andorra24
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: ven mag 19, 2006 10:30 pm

iexplore

Messaggioda ikuape88 » gio ago 03, 2006 3:42 pm

si... ma c'è sempre questo iexplore che mi puzza.....non c'è aperto nessun browser eppure appare all'avvio di windows....
cosa sara'?'
Avatar utente
ikuape88
Neo Iscritto
Neo Iscritto
 
Messaggi: 18
Iscritto il: gio ago 03, 2006 9:14 am

Messaggioda andorra24 » gio ago 03, 2006 3:51 pm

Fai una scansione con bitdefender:
http://www.bitdefender.com/scan8/ie.html
Avatar utente
andorra24
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: ven mag 19, 2006 10:30 pm

Messaggioda ikuape88 » gio ago 03, 2006 4:05 pm

il link non funziona...

comunques ho eliminato quei file e adesso internetexplore .exe è sparito....vuol dire che era uno spyware....giusto?...

adesso mi è venuto un altro dubbio

ci sono ben 5 svchost aperti....è normale?
Avatar utente
ikuape88
Neo Iscritto
Neo Iscritto
 
Messaggi: 18
Iscritto il: gio ago 03, 2006 9:14 am

Messaggioda andorra24 » gio ago 03, 2006 4:23 pm

ikuape88 ha scritto:adesso mi è venuto un altro dubbio

ci sono ben 5 svchost aperti....è normale?

Si e' normale. Stai tranquillo. [:-D]
Avatar utente
andorra24
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: ven mag 19, 2006 10:30 pm

antivirus

Messaggioda ikuape88 » ven ago 04, 2006 1:30 pm

bene. tutto ok, grazie di tutto.

un 'altra cosa.. ho scaricato kaspersky versione 6 dal sito ufficiale, solo che è in inglese... esiste in italiano e c'è la possibilita di mettere una patch per farlo in italiano?
Avatar utente
ikuape88
Neo Iscritto
Neo Iscritto
 
Messaggi: 18
Iscritto il: gio ago 03, 2006 9:14 am

Re: antivirus

Messaggioda andorra24 » ven ago 04, 2006 2:37 pm

ikuape88 ha scritto:un 'altra cosa.. ho scaricato kaspersky versione 6 dal sito ufficiale, solo che è in inglese... esiste in italiano e c'è la possibilita di mettere una patch per farlo in italiano?

Hai scaricato KAV 6.0 oppure KIS 6.0? Comunque, per entrambi esiste la versione in italiano:
http://www.kaspersky.com/productupdates ... =193302519
http://www.kaspersky.com/productupdates ... =193302520
Avatar utente
andorra24
Aficionado
Aficionado
 
Messaggi: 145
Iscritto il: ven mag 19, 2006 10:30 pm

Messaggioda ikuape88 » ven ago 04, 2006 7:36 pm

ti ringrazio tantissimo , ho risolto tutti i problemi di virus, ora non ho neanche un virus, sperando che kaspersky faccia il suo dovere [:-D] [:-D]

a presto [applauso] [applauso]
Avatar utente
ikuape88
Neo Iscritto
Neo Iscritto
 
Messaggi: 18
Iscritto il: gio ago 03, 2006 9:14 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 15 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising