www.MegaLab.it

da **francesco_orso** » sab giu 23, 2007 6:35 pm

ciao a tutti, mi chiamo Francesco e sono un nuovo arrivato.

ho un problema con il mio XP. dopo qualche minuto di navigazione mi compare un messaggio di

errore dove mi informa che lo ha causato services.exe. a questo punto il solito messaggio che il sistema

verrà riavviato dopo 60 secondi ed inizia il conto alla rovescia.

leggendo in rete ho trovato come terminare il messaggio: start->esegui-> shutdown -a.
ok, il conteggio si ferma ma è chiaro che poi non riesco più a navigare o ad avere il controllo del pc.

sembra bloccato.

ho riavviato più volte in modalità provvisoria dopo aver annullato il ripristino automatico di sistema e

ho fatto il controllo con Avast, kaspersky ver. prova per un mese da poco disinstallato (anche se

compare nel log sotto come tracce lasciate), spybot search e destroy, ad-Aware, spyware doctor...
eliminando di volta in volta quello trovato.

il problema persiste da una decina di giorni e già mi ha fatto diventare nervoso. riuscite ad aiutarmi?

ho provato a leggere tra le righe del log di seguito riportato. mi sembra tutto normale. che dite?

aspetto ansioso.
fra
------------------------

Logfile of HijackThis v1.99.1
Scan saved at 17.10.57, on 23/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat

4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\GlobespanVirata\Adsl\dslstat.exe
C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programmi\Spyware Doctor\SDTrayApp.exe
C:\Programmi\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Belkin\Software Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\Network Associates\VirusScan\VsStat.exe
C:\Programmi\Network Associates\VirusScan\Vshwin32.exe
C:\Programmi\Spyware Doctor\svcntaux.exe
C:\Programmi\Spyware Doctor\swdsvc.exe
C:\Programmi\Network Associates\VirusScan\Webscanx.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\File comuni\Network Associates\McShield\Mcshield.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} -

C:\Programmi\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} -

C:\Programmi\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [StatusClient] C:\Programmi\Hewlett-Packard\Toolbox2.0\Apache Tomcat

4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programmi\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
O4 - HKLM\..\Run: [jv16PT - Privacy Protector] C:\Programmi\jv16 PowerTools 2006\jv16PT.exe

-ExecTask "C:\Programmi\jv16 PowerTools 2006\Tasks\_PrivacyProtector\Task.jvb"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programmi\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File

comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital

Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Add to Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky

Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Belkin\Software

Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} -

C:\Programmi\Belkin\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F}

- C:\Programmi\Belkin\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) -

http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -

C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} -

C:\WINDOWS\system32\btxppanel.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil

Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil

Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil

Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programmi\Network

Associates\VirusScan\Avsynmgr.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programmi\Belkin\Software

Bluetooth\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision -

C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -

C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG -

C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: McShield - Unknown owner - C:\Programmi\File comuni\Network

Associates\McShield\Mcshield.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware

Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programmi\Spyware

Doctor\swdsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices,

Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

da **crazy.cat** » dom giu 24, 2007 12:01 pm

Vedo almeno tre antivirus nel tuo pc, avg, avast e mcafee, o almeno i loro resti e servizi installati.
Cosa stai usando?
Tra l'altro tutti e tre piuttosto scarsi come antivirus.

Nel visualizzatore eventi c'è qualche dettaglio in più su cosa provoca questo riavvio?
http://www.MegaLab.it/2651

Nel log non si vede niente di pericoloso.

da **Amantide** » dom giu 24, 2007 1:40 pm

Dovrebbe trattarsi del rootkit Rustock.
Esegui prima Rustbfix e dopo fai la scansione completa con Virit aggiornato.

da **francesco_orso** » dom giu 24, 2007 11:33 pm

eccomi ritornato.

dimenticavo di aggiungere che l'errore rilevato è "errore iniziato da NT autority\system 1073741819

....

ho lanciato il rustbfix. mi ha creato due file txt che vi allego. mi spiegate meglio cosa ha fatto?
perché due file txt? sembra che abbia lavorato bene.

scarico virit e faccio come suggerito prima.

vi aggiorno e grazie per la tempestiva risposta.

ps: come antivirus uso avast e mcafee. ieri ho scaricato anche antivir che ho installato ma non ho ancora lanciato.

1^ file pelog.txt
-----------------------
************************* Rustock.b-fix v. 1.01 -- By ejvindh

*************************
24/06/2007 21.13.18,51

******************* Pre-run Status of system *******************

Rootkit driver xpdx is found. Starting the unload-procedure....

Rustock.b-ADS attached to the System32-folder:
No streams found.

Looking for Rustock.b-files in the System32-folder:
system32\xpdx.sys FOUND!
attempting to delete xpdx.sys from system32-folder

******************* Post-run Status of system *******************

Rustock.b-driver on the system: xpdt
YOU NEED TO CONSULT MORE ADVANCED TOOLS!!
The Gmer-rootkitscanner may be a good place to start.
Gmer rootkit-scanner may be found here: http://www.gmer.net

Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32

******************************* End of Logfile

********************************

2^ file avenger.txt

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lnsnqbqt

*******************

Script file located at: \??\C:\WINDOWS\ocgvxopr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver xpdx unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.

da **Amantide** » lun giu 25, 2007 12:45 pm

francesco_orso ha scritto:ho lanciato il rustbfix. mi ha creato due file txt che vi allego. mi spiegate meglio cosa ha fatto?
perché due file txt?

I log sono 2 perché per prima cosa il tool ha dovuto deregistrare il driver del rootkit, e con la seconda "mossa" lo ha eliminato.

sembra che abbia lavorato bene.

Si.

ps: come antivirus uso avast e mcafee. ieri ho scaricato anche antivir che ho installato ma non ho ancora lanciato.

Un antivirus è più che sufficiente e quelli che avevi non sono nemmeno fra i migliori. Ti consiglierei di lasciare solo Antivir.

Ora fai la scansione con Virit ed allega qui anche il suo report.

da **francesco_orso** » mer giu 27, 2007 12:23 am

rieccomi felice. spero di aver terminato il mio incontro ravvicinato con virus.

ho lanciato virti in modalità provvisoria. ha trovato "Trojan.WIN32.Costrat.H" e per eliminarlo ho riavviato il pc come richiesto.
ho rifatto la stessa operazione più volte per porterlo eliminare.
alla fine sembra che ci sia riuscito.
ho rilanciato rustbfix e ha trovato ancora virus. per eliminarlo ha riavviato il pc come richiesto.

ho effettuato ulteriore scansione con Antivir. mi ha trovato worm/rbot.7782422. naturalmente l'ho elimianto.

a questo punto il pc sembra pulito da intrusi. speriamo continui. (è da circa 1 ora che navigo senza fastidiosi messaggi)

che ne dite ho preso virus parecchio gravi?

grazie per la collaborazione, pubblicità garantita ed avete trovato un nuovo frequentatore del sito.

GRAZIE!!!

fra

da **francesco_orso** » mer giu 27, 2007 12:46 am

dimenticavo,
mi suggerite di fare altre scansioni sul pc? ripulire il file di registro con qualche programma? in caso affermativo quale?

ciao
fra

da **crazy.cat** » mer giu 27, 2007 9:06 am

francesco_orso ha scritto: ripulire il file di registro con qualche programma? in caso affermativo quale?

Ccleaner o regseeker

www.MegaLab.it

errore services.exe

errore services.exe

codice errore e primi passi

Re: codice errore e primi passi

services.exe

services.exe

Re: services.exe

Chi c’è in linea