www.MegaLab.it

da **lozzo** » mer ago 23, 2006 2:18 pm

ciao, prima di tutto grazie per l'aituo: adesso non ho più alcun problema con svchost! [:-D]

(anche se ho avuto ancora alcuni problemi con vari exe che risultavano infetti che sembra sia riuscito a risolvere alal fine)

Ho installato vari programmi (quelli consigliati sul sito e nelle varie discussioni del forum) e sembra che tutto sia sotto controllo...comunque per sicurezza vi posto un nuovo log di hijackthis!

-----------------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 15.14.15, on 23/08/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\HPZipm12.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\iolo\System Mechanic Professional 6\SMSystemAnalyzer.exe
C:\Programmi\M-Audio Audiophile USB\Dmn\ma003dmn.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
E:\File installazione\Sicurezza\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {1E91A6CD-0E3B-52E9-74BF-9CF42C94153E} - C:\WINDOWS\ntkiu1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programmi\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SMSystemAnalyzer] "C:\Programmi\iolo\System Mechanic Professional 6\SMSystemAnalyzer.exe"
O4 - Global Startup: MA003DMN.LNK = C:\Programmi\M-Audio Audiophile USB\Dmn\ma003dmn.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/do ... ase969.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.pcn.minambiente.it/ecwplugins/ncs.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E74ADEA-21F1-456F-B905-FBD5C6C7A2AB}: NameServer = 85.37.17.40 85.38.28.85
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
-----------------------------------------------------------------------------------------

da **crazy.cat** » mer ago 23, 2006 4:02 pm

X Lozzo
il tuo log è pulito.

da **_Bezul_** » lun set 04, 2006 9:58 am

Salve sono nuovo, cercavo prorio una discussione su svchost.exe e l'ho trovata su questo quel forum, anche a me il pc fa capricci e molti di loro sono legati a questo processo di windows, facendo scansioni e ricerche all'interno del pc non ho trovato nulla di sospetto comunque allego il log di Hijackthis x farvi controllare se ci sono anomalie o programmi inutili che appesantiscono il sistema:

Logfile of HijackThis v1.99.1
Scan saved at 10.50.08, on 04/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
c:\progra~1\mcafee\mcafee antispyware\massrv.exe
c:\programmi\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programmi\McAfee.com\VSO\mcvsshld.exe
C:\Programmi\McAfee.com\VSO\oasclnt.exe
C:\progra~1\mcafee\MCAFEE~1\masalert.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F0 - system.ini: Shell=Explorer.exe c:\windows\system32\edonkeyserver-2005.exe
F1 - win.ini: run=c:\windows\system32\edonkeyserver-2005.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TV Now] C:\Programmi\HPQ\Notebook Utilities\TvNow.exe /RK
O4 - HKLM\..\Run: [Display Settings] C:\Programmi\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Programmi\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programmi\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programmi\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Clean Traces - C:\Programmi\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programmi\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programmi\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2580278264
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 8971184018
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/share ... cgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{10D98FAC-7E44-42AD-92E4-9C047C1DA4CF}: NameServer = 85.37.17.49 85.38.28.91
O17 - HKLM\System\CS17\Services\Tcpip\..\{10D98FAC-7E44-42AD-92E4-9C047C1DA4CF}: NameServer = 85.37.17.49 85.38.28.91
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programmi\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - c:\progra~1\mcafee\mcafee antispyware\massrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programmi\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ecco qui!

Vi ringrazio molto x l'aiuto che sicuramente mi darete.

In più ho un'altra domanda: Cosa ne pensate dell'antivirus McAfee? Io credo che sia buono anche se un suo processo(McShield.exe) ogni tanto occupa CPU tipo del 30%. Mi conviene sostituirlo con Antivir oppure lascio McAfee?

Grazie ancora e Byeezz! [:-D]

da **crazy.cat** » lun set 04, 2006 10:20 am

_Bezul_ ha scritto:Cosa ne pensate dell'antivirus McAfee? Io credo che sia buono anche se un suo processo(McShield.exe) ogni tanto occupa CPU tipo del 30%. Mi conviene sostituirlo con Antivir oppure lascio McAfee?

Sono arrivate alcune lamentele ultimamente sulla pesantezza e inefficacia del mcafee.
Un passaggio ad antivir o avast tanto per vedere la differenza può non essere una cattiva idea.

Se non hai fatto ultimamente aggiornamenti da windows update c'è questa patch che ha risolto degli strani comportamenti del svchost.exe
http://www.MegaLab.it/forum/viewtopic.p ... 149#192149

Il log è pulito.

Alcuni dei programmi che vengono caricati all'avvio del pc hp a volte sono molto poco utili.
Bisogna andare per tentativi e vedere se la loro eliminazione non crea problemi.
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TV Now] C:\Programmi\HPQ\Notebook Utilities\TvNow.exe /RK
O4 - HKLM\..\Run: [Display Settings] C:\Programmi\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Programmi\HPQ\One-Touch\OneTouch.EXE

Questi sono inutili sopratutto se non usi i servizi di messenger
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

Puoi usare Easy cleaner per togliere ed eventualmente rimettere programmi all'avvio.

da **_Bezul_** » lun set 04, 2006 10:22 am

Grazie 1.000 farò come da te consigliato!

da **valerioz** » lun set 11, 2006 12:12 pm

Ciao,
ho anche io lo stesso problema: dopo l'avvio di Windows XP la CPS viene utilizzata per 10 min circa al 100% da SVCHOST.
Ho scansionato con AVAST e con Kaspersky, ma non sono stati rilevati file sospetti...

Vi mando il log che ho salvato, potreste dirmi se c'è qualcosa di strano?

Provvederò ad installare la patch consigliata appena possibile!

Grazie 1000

Valerio

_________________________________________

Logfile of HijackThis v1.99.1
Scan saved at 9.49.44, on 11/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Programmi\antivirus\avast\aswUpdSv.exe
F:\Programmi\antivirus\avast\ashServ.exe
F:\WINDOWS\htpatch.exe
F:\WINDOWS\System32\RunDll32.exe
F:\Programmi\Roxio\Roxio DVDMax Player\PDVDServ.exe
F:\Programmi\Roxio\Easy Media Creator 8\Drag to Disc\DrgToDsc.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatchTray.exe
F:\PROGRA~1\ANTIVI~1\avast\ashDisp.exe
F:\WINDOWS\System32\ctfmon.exe
F:\grafica\picture-project\NkbMonitor.exe
F:\grafica\nikonview-6\NkvMon.exe
F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
F:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
F:\PROGRA~1\Iomega\System32\AppServices.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxMediaDB.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatch.exe
F:\WINDOWS\System32\svchost.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\CPSHelpRunner.exe
F:\WINDOWS\System32\taskmgr.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Programmi\eMule\emule.exe
F:\WINDOWS\system32\cmd.exe
F:\Programmi\antivirus\hikjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hot-searches.com/search.php?v=6&aff=8406575
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hot-searches.com/index.php?v=6&aff=8406575
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O1 - Hosts file is located at: F:\WINDOWS\nsdb\hosts
O1 - Hosts: 82.179.166.164 lender-search.com
O1 - Hosts: 82.179.166.165 hot-searches.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {9F917029-50C0-4CC8-67D0-E66ACD8C9883} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] F:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] F:\Programmi\Roxio\Roxio DVDMax Player\PDVDServ.exe
O4 - HKLM\..\Run: [CrazyTalk Serve] rundll32.exe F:\WINDOWS\System32\CrazyTalk.dll,DllServeMediaFile
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [IMJPMIG8.1] "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] F:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RoxioDragToDisc] "F:\Programmi\Roxio\Easy Media Creator 8\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ANTIVI~1\avast\ashDisp.exe
O4 - HKLM\..\Run: [hytc1.exe] F:\WINDOWS\Temp\hytc1.exe
O4 - HKLM\..\RunServices: [Mgsgi service] imnkg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DA1Monitor.lnk = F:\JDA1\DA1Monitor.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = F:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = F:\Programmi\antivirus\kasperky\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: NkbMonitor.exe.lnk = F:\grafica\picture-project\NkbMonitor.exe
O4 - Global Startup: NkvMon.exe.lnk = F:\grafica\nikonview-6\NkvMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O12 - Plugin for .pdf: F:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O23 - Service: Adobe LM Service - Unknown owner - F:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Programmi\antivirus\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - F:\Programmi\antivirus\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\Programmi\antivirus\avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\Programmi\antivirus\avast\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - F:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - F:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: kavsvc - Kaspersky Lab - F:\Programmi\antivirus\kasperky\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - F:\Programmi\Roxio\Easy Media Creator 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatch.exe

da **Amantide** » lun set 11, 2006 2:29 pm

Ti sei beccato anche tu il rootkit LinkOptimizer. Prova questo tool di rimozione abbinato a programma Prevx1.
http://www.MegaLab.it/forum/viewtopic.php?t=23747

Rifai la scansione con hijackthis e fixa queste voci:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://hot-searches.com/search.php?v=6&aff=8406575
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hot-searches.com/index.php?v=6&aff=8406575
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R3 - Default URLSearchHook is missing
O1 - Hosts file is located at: F:\WINDOWS\nsdb\hosts
O1 - Hosts: 82.179.166.164 lender-search.com
O1 - Hosts: 82.179.166.165 hot-searches.com
O2 - BHO: Class - {9F917029-50C0-4CC8-67D0-E66ACD8C9883} - (no file)
O4 - HKLM\..\Run: [CrazyTalk Serve] rundll32.exe F:\WINDOWS\System32\CrazyTalk.dll,DllServeMediaFile - (non richiesto all' avvio)
O4 - HKLM\..\Run: [hytc1.exe] F:\WINDOWS\Temp\hytc1.exe
O4 - HKLM\..\RunServices: [Mgsgi service] imnkg.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe

Con aiuto di Delete Doctor o Unlocker elimina i file in rosso.
Inoltre dalle opzioni di cartella abilita la visualizzazione dei file nascosti e di sistema e, se ci sono, elimina anche questi file:
F:\tmksrvu.exe
F:\xplugin.dll

Tramite regedit elimina anche i valori del registro indicati in fondo a questa guida http://www.symantec.com/security_respon ... 99&tabid=3

Scarica CCleaner ed elimina tutti i file temporanei.

da **valerioz** » mer set 13, 2006 1:48 pm

Grazie 1000 dell'aiuto Amantide,
ho fatto tutto:

usato tool di rimozione, installato PREVX1, fixate le voci che mi hai detto (alcune non le ho trovate come imnkg.exe e quelle nel registro riferite al link symantec).
CCLeaner non mi si installa, non capisco perché... sembra partire l'installazione, ma dopo un decimo di secondo finisce e non è stato installato nulla...

Ora è peggio! oltre a SVCHOST.exe, mi occupa la CPU anche un processo chiamato PXAGENT.EXE ! (prima non c'era e ora questo mi blocca la CPU definitivamente, non solo per 10 minuti come faceva, e fa, SVCHOST.EXE)

Ti posto il log eseguito dopo la procedura che mi hai detto, me lo controlleresti?

Grazie tante e scusa se rompo, ma ho un lavoro da terminare per la prossima settimana e sono a piedi [cry]

Valerio

Logfile of HijackThis v1.99.1
Scan saved at 22.38.43, on 11/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
F:\PROGRA~1\Iomega\System32\AppServices.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\Programmi\Prevx1\PXAgent.exe
F:\WINDOWS\htpatch.exe
F:\WINDOWS\System32\RunDll32.exe
F:\Programmi\Roxio\Roxio DVDMax Player\PDVDServ.exe
F:\Programmi\Roxio\Easy Media Creator 8\Drag to Disc\DrgToDsc.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatchTray.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxMediaDB.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatch.exe
F:\Programmi\Prevx1\PXConsole.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
F:\JDA1\DA1Monitor.exe
F:\WINDOWS\System32\svchost.exe
F:\Programmi\antivirus\kasperky\Kaspersky Anti-Hacker\KAVPF.exe
F:\grafica\picture-project\NkbMonitor.exe
F:\grafica\nikonview-6\NkvMon.exe
F:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\CPSHelpRunner.exe
F:\WINDOWS\System32\taskmgr.exe
F:\WINDOWS\System32\wuauclt.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Programmi\antivirus\hikjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - F:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] F:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] F:\Programmi\Roxio\Roxio DVDMax Player\PDVDServ.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [IMJPMIG8.1] "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] F:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RoxioDragToDisc] "F:\Programmi\Roxio\Easy Media Creator 8\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "F:\Documents and Settings\Valerio\Desktop\prevxremovaltool.exe" -scan
O4 - HKLM\..\Run: [PrevxOne] F:\Programmi\Prevx1\PXConsole.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DA1Monitor.lnk = F:\JDA1\DA1Monitor.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = F:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = F:\Programmi\antivirus\kasperky\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: NkbMonitor.exe.lnk = F:\grafica\picture-project\NkbMonitor.exe
O4 - Global Startup: NkvMon.exe.lnk = F:\grafica\nikonview-6\NkvMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O12 - Plugin for .pdf: F:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O23 - Service: Adobe LM Service - Unknown owner - F:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - F:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - F:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: kavsvc - Kaspersky Lab - F:\Programmi\antivirus\kasperky\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - F:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - F:\Programmi\Roxio\Easy Media Creator 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatch.exe

da **Amantide** » mer set 13, 2006 2:04 pm

Il log ora è pulito ed il file PXAGENT.EXE è un componente di Prevx1, e visto che ti da quel problemi ti conviene a disinstallarlo.

Per quanto riguarda i blocchi del computer, hai provato ad installare la patch indicata da crazy.cat?
Poi ho visto anche che hai svariati programmi per la grafica che sono poco conosciuti e di conseguenza non testati a dovere. Potrebbe essere che uno di questi programmi va in conflitto e ti fa bloccare il pc. Dopo che avrai finito il tuo lavoro, immagino che è legato proprio a guesti programmi di grafica, o no? [:-D]

), prova a disinstallarli tutti e poi reinstallare uno alla volta, controllando come si comporta il computer. Anche il problema ad installare il CCleaner può essere dovuto a questo. In alternativa puoi provare con RegSeeker.

da **valerioz** » mer set 13, 2006 4:21 pm

Ok, proverò a fare tutto, ma anche l'utilizzo 100% di CPU da parte di SVCHOST potrebbe essere dovuto a questi conflitti? [sbigot]

Che io mi ricordi non ho installato nessuno di questi programmi di grafica prima che succedesse il patatrac! (li avevo già da parecchio)

E' successo dopo l'attivazione dell'ADSL con ALICE, e dopo che ho installato KASPERSKY antivirus....

grazie ancora, ti terrò aggiornata! [applauso]

Valerio

da **valerioz** » gio set 14, 2006 4:48 pm

Ciao Amantide,
patch installata, e fatto tutto quello che mi avevi detto (tranne la disinstallazione dei programmi di grafica che per ora mi servono...), ma la CPU continua ad essere utilizzata al 100% da SVCHOST.EXE per 5min. circa dopo l'avvio di windows e altri 10 min dopo che mi collego ad internet.

Ho notato che nel log che ho fatto ora, compaiono ancora i files che mi hai fatto eliminare la scorsa volta ! [cry+]

Te lo invio...

Cosa posso fare ? (prima o poi dovrò formattare, ma non ora!)

Logfile of HijackThis v1.99.1
Scan saved at 16.52.57, on 14/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
F:\PROGRA~1\Iomega\System32\AppServices.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxMediaDB.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatch.exe
F:\WINDOWS\htpatch.exe
F:\WINDOWS\System32\RunDll32.exe
F:\Programmi\Roxio\Roxio DVDMax Player\PDVDServ.exe
F:\WINDOWS\System32\svchost.exe
F:\Programmi\Roxio\Easy Media Creator 8\Drag to Disc\DrgToDsc.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatchTray.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
F:\JDA1\DA1Monitor.exe
F:\grafica\picture-project\NkbMonitor.exe
F:\grafica\nikonview-6\NkvMon.exe
F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\CPSHelpRunner.exe
F:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
F:\WINDOWS\System32\taskmgr.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Programmi\eMule\emule.exe
F:\Programmi\antivirus\kasperky\Kaspersky Anti-Hacker\KAVPF.exe
F:\Programmi\antivirus\hikjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {9F917029-50C0-4CC8-67D0-E66ACD8C9883} - F:\WINDOWS\pkixc1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] F:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] F:\Programmi\Roxio\Roxio DVDMax Player\PDVDServ.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [IMJPMIG8.1] "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] F:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RoxioDragToDisc] "F:\Programmi\Roxio\Easy Media Creator 8\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
O4 - HKLM\..\Run: [PrevxRootkitRemovalTool] "F:\Documents and Settings\Valerio\Desktop\prevxremovaltool.exe" -scan
O4 - HKLM\..\Run: [hytc1.exe] F:\WINDOWS\Temp\hytc1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DA1Monitor.lnk = F:\JDA1\DA1Monitor.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = F:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = F:\Programmi\antivirus\kasperky\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: NkbMonitor.exe.lnk = F:\grafica\picture-project\NkbMonitor.exe
O4 - Global Startup: NkvMon.exe.lnk = F:\grafica\nikonview-6\NkvMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O12 - Plugin for .pdf: F:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{547E4D6E-5BA3-4800-BFA8-D21C106CF994}: NameServer = 212.216.172.62 151.99.125.1
O23 - Service: Adobe LM Service - Unknown owner - F:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - F:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - F:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: kavsvc - Kaspersky Lab - F:\Programmi\antivirus\kasperky\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - F:\Programmi\Roxio\Easy Media Creator 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatch.exe

da **Amantide** » gio set 14, 2006 8:22 pm

Eh si.. purtroppo LO è riapparso.
Rifai il log con Hijackthis e fixa queste voci:
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {9F917029-50C0-4CC8-67D0-E66ACD8C9883} - F:\WINDOWS\pkixc1.dll (file missing)
O4 - HKLM\..\Run: [hytc1.exe] F:\WINDOWS\Temp\hytc1.exe

Adesso vai su Opzioni cartella ed abilita la visualizzazione dei file nascosti e di sistema.
Trova ed elimina la cartella C:\Programmi\Linkoptimizer\
Nella cartella C:\Document and Setting\ elimina la cartella dell' account con un nome casuale che non riconosci.
Se hai i problemi ad eliminare qualche file o cartella usa Delete Doctor oppure Unlocker.
Adesso vai su Pannello di controllo--> Strumenti di amministrazione--> Servizi oppure su Start--> Esegui-> digita msconfig -->

Servizi e cerca un servizio cospetto con il nome casuale, tipo SrvIqf. Clicchi sopra con il tasto destro e disabilitali. Nelle proprietà del servizio annota il percorso del file eseguibile di riferimento.
Apri il regedit (Start--> Esegui--> regedit) e tramite Modifica-->Trova cerca ed elimina tutti i riferimenti a linkoptimizer, pkixc1.dll e hytc1.exe.
Ora scarica Avenger, avvialo e seleziona Input Script Manually. Nella finestra che si apre incolla questo testo

Codice: Seleziona tutto: Registry values to replace with dummy: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs Files to delete: F:\WINDOWS\pkixc1.dll F:\WINDOWS\Temp\hytc1.exe

Avenger potrebbe anche non funzionare, in questo caso usa il programma AgVPFix. Dovrai indicargli il percorso del file eseguibile del servizio disabilitato.
Alla fine con il CCleaner pulisci tutti i file temporanei togliendo prima in Opzioni la spunta a Cancella file in Windows Temp solo se più vecchi di 48 ore.
Riavvia e rifai il log nuovo.

da **valerioz** » dom set 17, 2006 7:22 pm

Ciao,
nulla da fare [cry+]

...
Ho fixato le voci strane del log, quelle del registro legate alle voci che mi hai detto (non ho trovato però la directory Linkoptimizer), ho lanciato Avenger, ma nulla. CPU sempre al 100% da SVCHOST.EXE
Ho notato nei servizi la voce strana che ti allego, ma non riesco a disabilitare il servizio ad essa legato. Ho anche la cartella F:/programmi/files comuni/system piena di file .exe dai nomi stranissimi tipo "aecU.exe, foH.exe, ohi.exe, ecc.... ce ne sono parecchi.... (ti mando ache questa immagine...)

Ti mando anche l'ultimo log di Hijackthis....

Logfile of HijackThis v1.99.1
Scan saved at 19.56.30, on 17/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
F:\PROGRA~1\Iomega\System32\AppServices.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\grafica\proshow_producer\ScsiAccess.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\htpatch.exe
F:\WINDOWS\System32\RunDll32.exe
F:\Programmi\Roxio\Roxio DVDMax Player\PDVDServ.exe
F:\Programmi\Roxio\Easy Media Creator 8\Drag to Disc\DrgToDsc.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatchTray.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
F:\JDA1\DA1Monitor.exe
F:\Programmi\antivirus\kasperky\Kaspersky Anti-Hacker\KAVPF.exe
F:\grafica\picture-project\NkbMonitor.exe
F:\grafica\nikonview-6\NkvMon.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatch.exe
F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxMediaDB.exe
F:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\CPSHelpRunner.exe
F:\WINDOWS\System32\wuauclt.exe
F:\WINDOWS\System32\taskmgr.exe
F:\Programmi\antivirus\hikjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HTpatch] F:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] F:\Programmi\Roxio\Roxio DVDMax Player\PDVDServ.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [IMJPMIG8.1] "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] F:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RoxioDragToDisc] "F:\Programmi\Roxio\Easy Media Creator 8\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DA1Monitor.lnk = F:\JDA1\DA1Monitor.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = F:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = F:\Programmi\antivirus\kasperky\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: NkbMonitor.exe.lnk = F:\grafica\picture-project\NkbMonitor.exe
O4 - Global Startup: NkvMon.exe.lnk = F:\grafica\nikonview-6\NkvMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O12 - Plugin for .pdf: F:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O23 - Service: Adobe LM Service - Unknown owner - F:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - F:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - F:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: kavsvc - Kaspersky Lab - F:\Programmi\antivirus\kasperky\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - F:\Programmi\Roxio\Easy Media Creator 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: ScsiAccess - Unknown owner - F:\grafica\proshow_producer\ScsiAccess.exe

Non so più che pesci pigliare [sedia]

Ciao, Valerio

da **crazy.cat** » lun set 18, 2006 7:17 am

Con AgVPFix o puoi usare anche Unlocker cancella tutti i file exe in quella cartella e anche la cartella al suo interno chiamata Lmudeslklor.

Il servizio lo puoi eliminare aprendo il registro di windows (start-esegui-regedit) e cerchi la stringa SRVGRM, ne dovresti trovare due e cancelli tutta la cartella che vedi nella finestra a sinistra del registro.
Una cosa come vedi nella foto qui sotto
Immagine

da **valerioz** » mar set 19, 2006 9:07 pm

Ciao Crazy Cat,
sembrerebbe tutto a posto ora !!! SVCHOST non mi ha occupato il 100% durante questa sessione... [applauso]

ma nella precedente, dopo aver tolto tutte le schifezze e riavviato, il processo mi ha di nuovo bloccato il PC per 10 min. circa e dopo alcuni minuti è apparsa una finestra che mi diceva che a causa di un processo terminato in modo errato, il sistema sarebbe stato riavviato tra 30, 29, 28, sec.... e così è stato.... (mai successo in vita mia).

Cosa è successo?

Nel registro mi sono trovato la cartella "Legacy_srvgrm" e non "srvgrm" come mi dicevi, devo eliminarla o no?

A questo punto per non ribeccarmi il virus secondo te basta Kaspersky antiacker o serve qualcosa di meglio?

Comunque posto il log per sicurezza....

Logfile of HijackThis v1.99.1
Scan saved at 21.43.45, on 19/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
F:\PROGRA~1\Iomega\System32\AppServices.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\grafica\proshow_producer\ScsiAccess.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\htpatch.exe
F:\WINDOWS\System32\RunDll32.exe
F:\Programmi\Roxio\Roxio DVDMax Player\PDVDServ.exe
F:\Programmi\Roxio\Easy Media Creator 8\Drag to Disc\DrgToDsc.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatchTray.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programmi\WIDCOMM\Bluetooth Software\BTTray.exe
F:\JDA1\DA1Monitor.exe
F:\Programmi\antivirus\kasperky\Kaspersky Anti-Hacker\KAVPF.exe
F:\grafica\picture-project\NkbMonitor.exe
F:\grafica\nikonview-6\NkvMon.exe
F:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatch.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxMediaDB.exe
F:\WINDOWS\System32\taskmgr.exe
F:\Programmi\File comuni\Roxio Shared\SharedCOM8\CPSHelpRunner.exe
F:\WINDOWS\System32\wuauclt.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Programmi\antivirus\hikjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - F:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HTpatch] F:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] F:\Programmi\Roxio\Roxio DVDMax Player\PDVDServ.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [IMJPMIG8.1] "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] F:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RoxioDragToDisc] "F:\Programmi\Roxio\Easy Media Creator 8\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxWatchTray] "F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatchTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DA1Monitor.lnk = F:\JDA1\DA1Monitor.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = F:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = F:\Programmi\antivirus\kasperky\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: NkbMonitor.exe.lnk = F:\grafica\picture-project\NkbMonitor.exe
O4 - Global Startup: NkvMon.exe.lnk = F:\grafica\nikonview-6\NkvMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O12 - Plugin for .pdf: F:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O23 - Service: Adobe LM Service - Unknown owner - F:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - F:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - F:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: kavsvc - Kaspersky Lab - F:\Programmi\antivirus\kasperky\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - F:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: ScsiAccess - Unknown owner - F:\grafica\proshow_producer\ScsiAccess.exe

Grazie di tutto !!!!! Siete tutti mitici e disponibilissimi !!!
Valerio

da **crazy.cat** » mer set 20, 2006 7:08 am

valerioz ha scritto:Cosa è successo?

Bella domanda, difficile darti una risposta.
Si è poi ripetuto?

Codice: Seleziona tutto: Nel registro mi sono trovato la cartella "Legacy_srvgrm" e non "srvgrm" come mi dicevi, devo eliminarla o no?

No, il nome dovrebbe essere proprio quello del servizio e vicino a quello dovresti trovare gli altri servizi.

Codice: Seleziona tutto: A questo punto per non ribeccarmi il virus secondo te basta Kaspersky antiacker o serve qualcosa di meglio?

Meglio di Kaspersky non c'è niente.

Il log è pulito.

da **valerioz** » sab set 23, 2006 10:39 pm

Ciao,
direi che tutto è risolto! La CPU parte a picco per 5 secondi all'avvio, ma poi si stabilizza.
SVCHOST non da più problemi...

tornando al registro:
Se in regedit clicco sulla cartella "Legacy_srvgrm" sulla finestra a destra (quella delle chiavi) appaiono alcune voci di servizi chiamati srvgrm. vanno eliminati? Oltre a questo non c'è nessun altra voce collegabile a srvgrm.

da **valerioz** » lun set 25, 2006 9:25 pm

Ciao,
l'utilizzo di SVCHOST all'avvio è perfetto, ora invece il problema si ripropone quando mi connetto a internet (dopo 1 min. circa la CPU schizza a 100% con SVCHOST a 99,98,70,99... %).

Se tento di disconnettermi, la cosa non riesce, sembra quasi che il processo blocchi la possibilità di disconnettersi da internet... [cry]

La cosa non si risolve in 10 minuti come succedeva tempo fa, ma permane fino allo spegnimento del PC (che non si arresta come dovrebbe, ma si blocca dopo luscita da windows XP alla comparsa della schermata "attendere, arresto sistema in corso").

Ho rifatto il log, ma sembra tutto pulito, identico a quellom postato.

Che faccio?

www.MegaLab.it

Svchost.exe occupa troppa Cpu

SVCHOST manda la CPU al 100%

Chi c’è in linea