Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Virus: windows/system32/services.ex

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Virus: windows/system32/services.ex

Messaggioda Cece » mar feb 20, 2007 6:22 pm

Ciao a tutti..io sono nuovo..vi chiedo scusa se magari c è gia qualche altro topic aperto su questo tipo di virus, ma ho guardato in giro e non l ho trovato..
vi chiedo se è possibile aiutarmi..
io è un paio di giorni che dopo un po che il pc è acceso, quando ne ha voglia lui, salta fuori una piccola maskerina dicendo che il computer si arrestera tra 60 sec e inizia a fare il conto alla rovescia, il nome del virus che mi da è quello che ho messo nel titolo del
topic "windows/system32/services.exe"
appena mi verrà fuori di nuovo posterò l'immagine della schermata che mi esce..
non so proprio come rimuoverlo... [cry]
se c è qualche buon anima che mi da un qualche consiglio su come fare, gliene sarei gratooooooooooo!!!!!
Grazie a tutti gia da adesso!!
attendo risposte [;)]
Avatar utente
Cece
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mar feb 20, 2007 6:05 pm

Messaggioda Cece » mar feb 20, 2007 6:45 pm

Quasi dimenticavo, ogni volta che accendo il pc, mi da sempre un altro errore, vi allego l'immagine della maskerina che mi esce..magari puo entrarci con il virus..
Avatar utente
Cece
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mar feb 20, 2007 6:05 pm

Messaggioda BilloKenobi » mar feb 20, 2007 7:25 pm

l'immagine è simile a questa?

Immagine

in linea di massima, sembrerebbe il sasser. prova questo tool dalla provvisoria

http://www.symantec.com/content/en/us/g ... Sasser.exe

se poi funziona posta un log di hijackthis
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am


Messaggioda crazy.cat » mar feb 20, 2007 8:33 pm

Il newdot è un adware non è legato all'eventuale virus.
Aspettiamo il log di hijackthis.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Cece » mer feb 21, 2007 2:51 pm

esatto l immagine è identica a quella
solamente che invece di esserci scritto Windows/system32/Isass.exe c è scritto windows/system32/services.exe...

ma ripeto appena saltera fuori di nuovo vi posterò l immagine..
Avatar utente
Cece
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mar feb 20, 2007 6:05 pm

Messaggioda Cece » mer feb 21, 2007 2:53 pm

mentre questo è cio che mi esce dopo che faccio andare hijackthis...mi esce su una pagina block notes.. ve lo copio qua di seguito


Logfile of HijackThis v1.99.1
Scan saved at 12:38:26, on 20.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe
C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe
C:\Programmi\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Microsoft IntelliType Pro\type32.exe
C:\Programmi\Softwin\BitDefender10\bdmcon.exe
C:\Programmi\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Andrea\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazzetta.it/
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Programmi\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Programmi\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://wlf46cece.spaces.live.com//Photo ... nPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~2\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~2\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programmi\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programmi\File comuni\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



grazie x quello che state facendo gia ora x aiutarmi!!
Avatar utente
Cece
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mar feb 20, 2007 6:05 pm

Messaggioda Amantide » mer feb 21, 2007 3:04 pm

In giro si legge che questo errore potrebbe indicare la presenza di rootkit Gromozon. [uhm]
Scarica Systemscan, spunta tutte le voci e fai la scansione. A scansione terminata trova in c:\suspectfile il file report.txt, comprimilo in un archivio ed allegalo qui.

***edit***

Intanto leggi questo articolo e risolvi il problema di New.net.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Cece » mer feb 21, 2007 3:24 pm

l ho fatto..ma il file txt è vuoto...ora provo a rifare tutto di nuovo..
comunque cosa intendi con "comprimilo in un archivio "cosa devo fare x comprimerlo in un archivio..

scusa la mia ignoranza..
Avatar utente
Cece
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mar feb 20, 2007 6:05 pm

Messaggioda Amantide » mer feb 21, 2007 3:31 pm

Cece ha scritto:comunque cosa intendi con "comprimilo in un archivio "cosa devo fare x comprimerlo in un archivio..
.

Devi mettere il file report.txt all'interno di un archivio RAR o ZIP e poi mentre rispondi lo carichi sul forum cliccando giù sul tasto Carica file.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda BilloKenobi » mer feb 21, 2007 4:47 pm

Amantide ha scritto:In giro si legge che questo errore potrebbe indicare la presenza di rootkit Gromozon. [uhm]


personalmente anche a me è capitato il caso di un utente che lamentava questo problema. io pensavo al sasser, poi è saltato fuori che era proprio un rootkit (però quello era il rustock) tanto che dopo il fix apposito per il rootkit è sparito tutto!! credo sia più una specie di bug che un riadattamento del sasser/blaster. il numero di casi che riportano questo problema almeno per ora è limitato
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda Cece » mer feb 21, 2007 4:52 pm

rieccomi qua..scusate se vi rispondo solo ora..ma ho fatto tutto quello che mi avete detto..

fx sasser non è presente nel mio pc, cosi mi dice dopo la scansione

mentre x il sistemscan..l ho fatto
ma all fine mi da quest errore di cui vi allego l immagine della mascherina..

il file txt non c è, mi chiede se voglio crearlo io..e se faccio si mi si crea una pagina del block notes vuoto..altrimenti non si trova niente..
dentro la cartella suspectfile ci sono questi due file:

report.row rptr.row

BilloKenobi, ho letto ora il tuo commento, visto che dici che ti è gia capitato un utente con questo problema, sapresti dirmi cosa posso fare x rimuovere il virus???
Avatar utente
Cece
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mar feb 20, 2007 6:05 pm

Messaggioda BilloKenobi » mer feb 21, 2007 4:54 pm

non so se è questo il tuo caso, ma provare non ti costa nulla, magari è una "fortunata" coincidenza. nei log non c'è traccia del rustock, però tu fai girare questo apposito programmino. se te lo trova e poi il problema sparisce, beh significherà che abbiamo avuto fortuna

http://www.uploads.ejvindh.net/rustbfix.exe
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda Cece » mer feb 21, 2007 4:56 pm

grazie..e speriamo di avere fortuna..
Avatar utente
Cece
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mar feb 20, 2007 6:05 pm

Messaggioda Cece » mer feb 21, 2007 5:01 pm

ho cliccato il link che mi hai dato e ho fatto tutto quello che dovevo fare..una volta riavviato il pc mi si sono aperte 2 pagine del block noter con su questo



************************* Rustock.b-fix -- By ejvindh *************************
21.02.2007 15:53:17.43

******************* Pre-run Status of system *******************

Rootkit driver huy32 is found. Starting the unload-procedure....

Rustock.b-ADS attached to the System32-folder:
:huy32.sys 70550
Total size: 70550 bytes.
Attempting to remove ADS...
system32: deleted 70550 bytes in 1 streams.

Looking for Rustock.b-files in the System32-folder:
system32\huy32.sys FOUND!
attempting to delete huy32.sys from system32-folder


******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************************* End of Logfile ********************************










Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hcxrptic

*******************

Script file located at: \??\C:\WINDOWS\system32\ltjgyjbw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver huy32 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.




cosa significa??
Avatar utente
Cece
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mar feb 20, 2007 6:05 pm

Messaggioda Amantide » mer feb 21, 2007 5:05 pm

Significa che avevi il famoso rootkit Rustock ed è stato eliminato [:)]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda Cece » mer feb 21, 2007 5:15 pm

dici davvero?????????????????????????????????

ma io vi amo ragazziiiiiiiiiiii...ehehe..

no vabbè, amarvi no..

xo vi ringrazioooooooooooooooooo di cuore...
spero davvero sia stato eliminato.. (anche perché se no tutte queste parole di elogio che vi sto dando le ritiro ehehe)
se dovesse ricomparire ancora il virus ve lo farò sapere..

comunque vi ringrazio un sacco!!!!!!!!!

grazie a tutti..siete fantastici!!!!!!!!!
Avatar utente
Cece
Neo Iscritto
Neo Iscritto
 
Messaggi: 9
Iscritto il: mar feb 20, 2007 6:05 pm

Messaggioda BilloKenobi » mer feb 21, 2007 8:31 pm

nella speranza che tu ti riconnetta, potresti essere in grado di trovare, nel disco rigido, una cartella "avenger". la potresti zippare e mandarcela tramite questo sito? collaboro lì

www.suspectfile.com
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 21 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising