Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

wuauclt.exe....cpu a palla...pc lento...help!!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

wuauclt.exe....cpu a palla...pc lento...help!!

Messaggioda MooKid » ven apr 29, 2005 11:20 pm

Allora...mi sono beccato un virus e questo é ovvio...mi intacca questo dannato file wuauclt.exe che altro non é che il windows update, che é sempre presente e si ricrea all'infinito (anche se lo chiudo dal task manager e lo butto) ho dato un occhiata in giro su alcuni forum (http://forum.swzone.it/printthread.php?t=50504) che mi hanno ricondotto qui' ---> http://www.symantec.com/region/it/techsupp/avcenter/venc/data/it-w32.ahker.d@mm.html

le caratteristiche sono quelle...cpu a palla, win update sempre presente, impossibilità di modificare chiavi di registro ecc...ora li nel link c'é la procedura ...lunghissima....per togliere questo worm...ma é davvero troppo lunga per la mia sanità mentale...non é che conoscete un tool..un programmino...o qualsiasi altra cosa per pulirmi il pc?

ah ho pensato di togliere l'applicazione allo start con HijackThis ma non me la visualizza nel log...che già che ci sono vi scrivo qui' sotto.. :


Logfile of HijackThis v1.97.7
Scan saved at 0.16.07, on 30/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\lexbces.exe
C:\WINDOWS\System32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe
D:\CPUCold\CooLSrv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\usrbridg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
D:\Programmi\Adobe\Acrobat\Distillr\AcroTray.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programmi\Winamp\winamp.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\taskmgr.exe
D:\Frx\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vxqbjphuqs.com/sYYI2Vdcc6Rew ... 7SsLCi.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll (file missing)
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - D:\PROGRAMMI\DAP\DAPIEBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programmi\adobe\acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {EEA0453A-BE01-4C24-AD0F-51E04BFD9167} - C:\Documents and Settings\user\Dati applicazioni\microsoft\internet explorer\1inav.dat
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmi\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [Connector] C:\WINDOWS\System32\CIWIN32.EXE -n
O4 - HKLM\..\Run: [Omnipage] C:\Programmi\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [refrnnqg] C:\WINDOWS\xmlcfv.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programmi\File comuni\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [wdskctl] C:\WINDOWS\wdskctl.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [saie] c:\windows\system32\saie.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Windows] run.exe
O4 - HKLM\..\Run: [Windows Update Manager] C:\WINDOWS\wupdate.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\FILECO~1\System\MOSearch\Bin\mosearch.exe
O4 - HKLM\..\RunServices: [Windows] run.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] C:\WINDOWS\wupdate.exe
O4 - HKCU\..\Run: [AutoUpdater] C:\WINDOWS\System32\aupdate.exe
O4 - HKCU\..\Run: [Windows Update Manager] C:\WINDOWS\wupdate.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Startup: Reality Fusion GameCam SE.lnk = C:\Programmi\Reality Fusion\Reality Fusion GameCam SE\Program\RFTRay.exe
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Programmi\Norton AntiVirus\navapw32.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programmi\Adobe\Acrobat\Distillr\AcroTray.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programmi\google\GoogleToolbar3.dll/cmtrans.html
O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programmi\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! Search - file:///C:\Programmi\Yahoo!\Common/ycsrch.htm
O9 - Extra button: Short Message (HKLM)
O9 - Extra button: E bazar (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: AllInOne (HKLM)
O9 - Extra 'Tools' menuitem: AllInOne (HKLM)
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
O16 - DPF: ChatSpace Java Client 2.1.0.90L - http://64.85.10.126:8139/Java/cs4msl090.cab
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/games/c ... /at0_x.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62479 ... ge-c18.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by9fd.bay9.hotmail.msn.com/resou ... nPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3766211828
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {AEFD32B6-4815-11D2-98E4-00C04FCEFE77} (SnCAX Class) - http://freetel.picus.it/Picus/SnC/AutoSetup/SnC.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - http://bar.baidu.com/update/dguser/IESe ... homedg.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {E87A6788-1D0F-4444-8898-1D25829B6755} - http://fdl.msn.com/public/chat/msnchat4.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlexe.CAB



...non so se avete qualche idea o che....io una ce l'avrei....il megaformattone generale, solo che mi vorrei masterizzare un paio di cosine prima, ma con la cpu ridotta cosi', non oso immaginare i cd che brucierei!!


il mio Pc é un P4 1.6 Ghz, 384 MB RIMM, Win Xp Pro (senza neanche il Service Pack 1....il motivo é scontato...!)


grazie a tutti per l'eventuale aiuto!


saluti :)
Avatar utente
MooKid
Aficionado
Aficionado
 
Messaggi: 65
Iscritto il: ven set 17, 2004 12:43 pm

Messaggioda ba_61 » sab apr 30, 2005 1:26 am

Non hai nè antivirus o firewall ed aggiornamenti da Update [sbigot] Aggiorna il tutto, se riesci, poi esegui una scansione in modalità provvisoria e con il punto di ripristino disattivato con Antivirus, Ad-Aware e Spybot. Controlla nelle installazioni se ci sono voci che non conosci e prova a rimuoverle. Il Log attuale è inutile leggerlo, per adesso. Esiste anche una versione più recente di Hijack. Nelle condizioni attuali, opterei per la formattazione, installi un Ativirus, lo aggiorni e vai in Update (forse fai prima).
Avatar utente
ba_61
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6290
Iscritto il: lun gen 10, 2005 11:36 pm

Messaggioda crazy.cat » sab apr 30, 2005 7:33 am

Direi che hai ben più di un problema, le voci che ti elenco sotto sono i tuoi possibili problemi, oltre al fatto che hai norton antivirus.
disattiva i punti di ripristino e riavvia il pc.
Fai una scansione con questo dalla modalità provvisoria
http://www.MegaLab.it/2333
se non basta ad eliminare le voci indicate qui sotto usa questo
http://www.MegaLab.it/2166
dopo passate di antispyware a scelta nei primi 4 della lista
http://www.MegaLab.it/forum/viewtopic.p ... 369#112369

quanto hai fatto usa il nuovo hijackthis http://www.MegaLab.it/3000
e riposta il log.

Come firewall cosa usi?

da eliminare
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vxqbjphuqs.com/sYYI2Vdcc6Rew ... 7SsLCi.htm
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programmi\DAP\DAPBHO.dll (file missing)
O2 - BHO: (no name) - {EEA0453A-BE01-4C24-AD0F-51E04BFD9167} - C:\Documents and Settings\user\Dati applicazioni\microsoft\internet explorer\1inav.dat

Probabili virus
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [RunWindowsUpdate] C:\WINDOWS\uptodate.exe
O4 - HKLM\..\Run: [Windows] run.exe
O4 - HKLM\..\RunServices: [Windows] run.exe
O4 - HKCU\..\Run: [AutoUpdater] C:\WINDOWS\System32\aupdate.exe
O4 - HKLM\..\Run: [refrnnqg] C:\WINDOWS\xmlcfv.exe
O4 - HKLM\..\Run: [wdskctl] C:\WINDOWS\wdskctl.exe

Puzza di dialer
O4 - HKLM\..\Run: [Connector] C:\WINDOWS\System32\CIWIN32.EXE -n

Spyware
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [saie] c:\windows\system32\saie.exe
O4 - HKLM\..\Run: [Windows Update Manager] C:\WINDOWS\wupdate.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\FILECO~1\System\MOSearch\Bin\mosearch.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] C:\WINDOWS\wupdate.exe
O4 - HKCU\..\Run: [Windows Update Manager] C:\WINDOWS\wupdate.exe

Sospetti e da eliminare per sicurezza
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
O16 - DPF: ChatSpace Java Client 2.1.0.90L - http://64.85.10.126:8139/Java/cs4msl090.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62479 ... ge-c18.cab
O16 - DPF: {AEFD32B6-4815-11D2-98E4-00C04FCEFE77} (SnCAX Class) - http://freetel.picus.it/Picus/SnC/AutoSetup/SnC.cab
O16 - DPF: {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - http://bar.baidu.com/update/dguser/IESe ... homedg.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/dlexe.CAB
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda MooKid » sab apr 30, 2005 12:54 pm

grazie per le risposte, sempre gentili in questo forum ;)


comunque io un antivirus lo ho....ho Norton che sarà anche un busta...ma c'é.....solo che, e mi ero dimenticato di scriverlo, sto worm mi ha disabilitato l'auto-protect senza possibilità di ripristinarlo....non sono cosi' pazzo!


comunque avevo fatto uno scan col norton aggiornato, trovato le solite cosine...poi mi sono fatto uno sca online dal sito www.antivirus.com che trovo molto buono...mi aveva trovato alcuni file infetti, buttati tutti, tranne due che erano run.exe e wupdate.exe....solo che una volta chiuse queste due applicazioni dal task manager non si sono piu' ripresentate...

ho scaricato il nuovo Hijack provo a levare quello che mi avete suggerito e vi fo' sapere...

grassie ancora ;)
Avatar utente
MooKid
Aficionado
Aficionado
 
Messaggi: 65
Iscritto il: ven set 17, 2004 12:43 pm

Messaggioda MooKid » mar mag 03, 2005 1:44 am

risolto tutto col formattone royalo...


grazie a tutti comunque!

:)
Avatar utente
MooKid
Aficionado
Aficionado
 
Messaggi: 65
Iscritto il: ven set 17, 2004 12:43 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising