Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

strano processo "irdvxc.exe"

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

strano processo "irdvxc.exe"

Messaggioda valerioz » sab dic 30, 2006 10:47 am

Ciao a tutti,
da qualche tempo mi capita che dopo la connessione a internet mi appaia un processo chiamato "irdvxc.exe" il quale blocca qualsiasi possibilità di navigazione con explorer.
Inoltre non riesco più a fare uno scan con Hijackthis in quanto appena sui apre la finestra del programma, subito viene bloccato e scompare.
Stessa cosa con altri software di diagnostica...
La stessa identica cosa succede quando tento di accedere a siti che segnalano questo processo come per esempio il sito mcafee, ecc...

Ho tentato a rimuovere tutte le voci dal registro ma dopo poco tempo l'intruso ricompare... :(

Avete qualche idea per rimuovere questo virus?

Grazie 1000!
Valerio
Avatar utente
valerioz
Aficionado
Aficionado
 
Messaggi: 28
Iscritto il: lun set 11, 2006 12:01 pm

Messaggioda crazy.cat » sab dic 30, 2006 10:52 am

Prova a far analizzare il file su questo sito
http://www.virustotal.com/en/indexf.html
Per capire meglio di che virus si tratta e cone eliminarlo.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda valerioz » sab dic 30, 2006 6:36 pm

Il problema è che il file non si trova, nel registro sembrerebbe essere in System32, ma lì non c'è nessun file.... [boh]
Ho eseguito una scansione in mod. provvisoria con VirIt ma non risulta nessuna infezione.
Avatar utente
valerioz
Aficionado
Aficionado
 
Messaggi: 28
Iscritto il: lun set 11, 2006 12:01 pm


Messaggioda Amantide » sab dic 30, 2006 6:59 pm

Per visualizzare il file dovresti abilitare la visualizzazione dei file nascosti. Apri una cartella qualsiasi, vai su Opzioni cartella-> Visualizzazione e spunta Visualizza file e cartelle nascosti.

Sembrerebbe che questo file fa parte della variante del trojan Sdbot.
Prova a fare la scansione dalla modalità provvisoria con il tool SDBOTGUI che trovi qui. Leggi attentamente le istruzioni prima di proseguire.

Inoltre prova anche con questo trucchetto:
vai su Start-> Esegui, digita sc stop MSDisk e premi Ok.
Ritorna su Esegui e digita quest altro comando sc delete MSDisk e premi Ok.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda valerioz » sab gen 06, 2007 5:59 pm

Ciao,
sono riuscito ad eliminare il file irdvxc.exe con kaspersky, ora ne è saltato fuori uno con nome urdvxc.exe che però non risulta infetto...
Ho provato a fare la scansione con l'utility che mi ha detto, ma il virus in questione non risulta presente.
Ho dato un'occhiata in giro sull'hard disk e ho delle cartelle piene zeppe di files con nome casuale tipo jrjggd.exe oppure arfdijo.exe....
Si trovano nelle cartelle dei programmi che utilizzo più spesso.

Non mi risulta possibile mandarti nessun log di Hijack o similari in quanto, come ti dicevo, appena tento di aprire il programma, mi si chiude senza possibilità di eseguire lo scan.
Inoltre capita spesso che non riesca a navigare o che e-mule si disconnetta dai server senza poter riconnettersi. Tentando poi la disconnessione dalla rete, l'operazione è impossibile...

Non so più dove sbattere la testa, è da un mese che non riesco a mantenere pulito il PC!!!
Avatar utente
valerioz
Aficionado
Aficionado
 
Messaggi: 28
Iscritto il: lun set 11, 2006 12:01 pm

Messaggioda Amantide » sab gen 06, 2007 6:09 pm

Prova se funziona il programma GMER. In tal caso fai la scansione delle sezioni Autostart e Rootkit, clicca poi sul tasto Copy ed incolla il log della scansione qui.
Altrimenti vedi se ci riesci a fare la scansione con Kaspersky online e postare il log della scansione.

P.S. Non riesci a far partire nemmeno SDBOTGUI, il tool di rimozione di Sdbot?
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda valerioz » sab gen 20, 2007 11:06 am

Ciao,
scusa per il ritardo della risposta ma ho dovuto reinstallare windows a causa di una errata cancellazione di un file di sistema...

ebbene, anche dopo la reinstallazione il problema sussiste ma in modo diverso:

ora ho due processi strani che si attivano al momento della connessione internet e bloccano navigazione e apertura di Hijack e similari (anche GMER).

i sospetti si chiamano URDVXC.EXE e SYMON.EXE

ho scoperto che per il primo processo si tratta di un worm chiamato "Allaple.B", ho cercato di eliminarlo con PREVX, ma non viene trovato.

Sono riuscito a fare un log con VIRIT, te lo posto, non so se può essere utile a capire come rimuovere il tutto...

...queste sono tutte le info che sono riuscito a carpire...

Grazie anticipatamente
Valerio

_________________

VirIT Lite Monitor: Lista dei programmi e servizi in esecuzione automatica

Sistema Operativo: Microsoft Windows XP

1 - 18/01/2003 - 18:40:22
32
E:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.lnk
E:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
Stato: File TROVATO

2 - 18/01/2003 - 18:40:22
33
E:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Adobe Gamma Loader.lnk
E:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
Stato: File TROVATO

3 - 14/01/2007 - 18:22:44
0
NvMediaCenter
RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
Stato: File TROVATO

4 - 14/01/2007 - 18:22:44
0
RemoteControl
E:\Programmi\Roxio\Roxio DVDMax Player\PDVDServ.exe
Stato: File TROVATO

5 - 14/01/2007 - 18:22:44
0
VIRIT LITE MONITOR
E:\VEXPLITE\MONLITE.EXE
Stato: File TROVATO

6 - 14/01/2007 - 18:22:44
5
CTFMON.EXE
E:\WINDOWS\System32\ctfmon.exe
Stato: File TROVATO

7 - 14/01/2007 - 18:22:44
7

"%1" %*
Stato: File NON trovato

8 - 14/01/2007 - 18:22:44
8

"%1" %*
Stato: File NON trovato

9 - 14/01/2007 - 18:22:44
9

"%1" %*
Stato: File NON trovato

10 - 14/01/2007 - 18:22:44
10

"%1" %*
Stato: File NON trovato

11 - 14/01/2007 - 18:22:44
11

"%1" /S
Stato: File NON trovato

12 - 14/01/2007 - 18:22:44
15
shell
Explorer.exe
Stato: File TROVATO

13 - 14/01/2007 - 18:22:44
16
userinit
E:\WINDOWS\system32\userinit.exe,
Stato: File TROVATO

14 - 14/01/2007 - 18:22:44
38
SecurityProviders
msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll
Stato: File TROVATO

15 - 14/01/2007 - 18:22:44
24
PostBootReminder
E:\WINDOWS\system32\SHELL32.dll
Stato: File TROVATO

16 - 14/01/2007 - 18:22:44
24
CDBurn
E:\WINDOWS\system32\SHELL32.dll
Stato: File TROVATO

17 - 14/01/2007 - 18:22:44
24
WebCheck
E:\WINDOWS\System32\webcheck.dll
Stato: File TROVATO

18 - 14/01/2007 - 18:22:44
24
SysTray
E:\WINDOWS\System32\stobject.dll
Stato: File TROVATO

19 - 14/01/2007 - 18:22:44
34
{8E718888-423F-11D2-876E-00A0C9082467}
E:\WINDOWS\System32\msdxm.ocx
Stato: File TROVATO

20 - 14/01/2007 - 18:22:44
35
{438755C2-A8BA-11D1-B96B-00A0C90312E1}
E:\WINDOWS\System32\browseui.dll
Stato: File TROVATO

21 - 14/01/2007 - 18:22:44
35
{8C7461EF-2B13-11d2-BE35-3078302C2030}
E:\WINDOWS\System32\browseui.dll
Stato: File TROVATO

22 - 14/01/2007 - 18:22:44
23
DirectAnimation Java Classes
file://E:\WINDOWS\Java\classes\dajava.cab
Stato: File NON trovato

23 - 14/01/2007 - 18:22:44
23
Microsoft XML Parser for Java
file://E:\WINDOWS\Java\classes\xmldso.cab
Stato: File NON trovato

24 - 14/01/2007 - 18:22:44
36
{750fdf0e-2a26-11d1-a3ea-080036587f03}
E:\WINDOWS\System32\cscui.dll
Stato: File TROVATO

25 - 14/01/2007 - 18:22:44
36
{09799AFB-AD67-11d1-ABCD-00C04FC30936}
E:\WINDOWS\system32\SHELL32.dll
Stato: File TROVATO

26 - 14/01/2007 - 18:22:44
36
{A470F8CF-A1E8-4f65-8335-227475AA5C46}
E:\WINDOWS\system32\SHELL32.dll
Stato: File TROVATO

27 - 14/01/2007 - 18:22:44
26
000000000001
E:\WINDOWS\System32\mswsock.dll
Stato: File TROVATO

28 - 14/01/2007 - 18:22:44
26
000000000002
E:\WINDOWS\System32\winrnr.dll
Stato: File TROVATO

29 - 14/01/2007 - 18:22:44
26
000000000003
E:\WINDOWS\System32\mswsock.dll
Stato: File TROVATO

30 - 14/01/2007 - 18:22:44
27
000000000001
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

31 - 14/01/2007 - 18:22:44
27
000000000002
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

32 - 14/01/2007 - 18:22:44
27
000000000003
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

33 - 14/01/2007 - 18:22:44
27
000000000004
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

34 - 14/01/2007 - 18:22:44
27
000000000005
E:\WINDOWS\system32\rsvpsp.dll
Stato: File TROVATO

35 - 14/01/2007 - 18:22:44
27
000000000006
E:\WINDOWS\system32\rsvpsp.dll
Stato: File TROVATO

36 - 14/01/2007 - 18:22:44
27
000000000007
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

37 - 14/01/2007 - 18:22:44
27
000000000008
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

38 - 14/01/2007 - 18:22:44
27
000000000009
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

39 - 14/01/2007 - 18:22:44
27
000000000010
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

40 - 14/01/2007 - 18:22:44
27
000000000011
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

41 - 14/01/2007 - 18:22:44
27
000000000012
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

42 - 14/01/2007 - 18:22:44
28
crypt32chain
crypt32.dll
Stato: File TROVATO

43 - 14/01/2007 - 18:22:44
28
cryptnet
cryptnet.dll
Stato: File TROVATO

44 - 14/01/2007 - 18:22:44
28
cscdll
cscdll.dll
Stato: File TROVATO

45 - 14/01/2007 - 18:22:44
28
ScCertProp
wlnotify.dll
Stato: File TROVATO

46 - 14/01/2007 - 18:22:44
28
Schedule
wlnotify.dll
Stato: File TROVATO

47 - 14/01/2007 - 18:22:44
28
sclgntfy
sclgntfy.dll
Stato: File TROVATO

48 - 14/01/2007 - 18:22:44
28
SensLogn
WlNotify.dll
Stato: File TROVATO

49 - 14/01/2007 - 18:22:44
28
termsrv
wlnotify.dll
Stato: File TROVATO

50 - 14/01/2007 - 18:22:44
28
wlballoon
wlnotify.dll
Stato: File TROVATO

51 - 14/01/2007 - 18:22:44
29
AudioSrv - Audio Windows
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\audiosrv.dll)
Stato: File TROVATO

52 - 14/01/2007 - 18:22:44
29
Browser - Browser di computer
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\browser.dll)
Stato: File TROVATO

53 - 14/01/2007 - 18:22:44
29
CryptSvc - Servizi di crittografia
E:\WINDOWS\system32\svchost.exe -k netsvcs (E:\WINDOWS\System32\cryptsvc.dll)
Stato: File TROVATO

54 - 14/01/2007 - 18:22:44
29
Dhcp - Client DHCP
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\dhcpcsvc.dll)
Stato: File TROVATO

55 - 14/01/2007 - 18:22:44
29
dmserver - Gestione dischi logici
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\dmserver.dll)
Stato: File TROVATO

56 - 14/01/2007 - 18:22:44
29
Dnscache - Client DNS
E:\WINDOWS\System32\svchost.exe -k NetworkService (E:\WINDOWS\System32\dnsrslvr.dll)
Stato: File TROVATO

57 - 14/01/2007 - 18:22:44
29
ERSvc - Servizio di segnalazione errori
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\ersvc.dll)
Stato: File TROVATO

58 - 14/01/2007 - 18:22:44
29
Eventlog - Registro eventi
E:\WINDOWS\system32\services.exe
Stato: File TROVATO

59 - 14/01/2007 - 18:22:44
29
helpsvc - Guida in linea e supporto tecnico
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll)
Stato: File TROVATO

60 - 14/01/2007 - 18:22:44
29
Irmon - Monitor infrarossi
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\irmon.dll)
Stato: File TROVATO

61 - 14/01/2007 - 18:22:44
29
lanmanserver - Server
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\srvsvc.dll)
Stato: File TROVATO

62 - 14/01/2007 - 18:22:44
29
lanmanworkstation - Workstation
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\wkssvc.dll)
Stato: File TROVATO

63 - 14/01/2007 - 18:22:44
29
LmHosts - Helper NetBIOS di TCP/IP
E:\WINDOWS\System32\svchost.exe -k LocalService (E:\WINDOWS\System32\lmhsvc.dll)
Stato: File TROVATO

64 - 14/01/2007 - 18:22:44
29
NVSvc - NVIDIA Display Driver Service
E:\WINDOWS\System32\nvsvc32.exe
Stato: File TROVATO

65 - 14/01/2007 - 18:22:44
29
PlugPlay - Plug and Play
E:\WINDOWS\system32\services.exe
Stato: File TROVATO

66 - 14/01/2007 - 18:22:44
29
PolicyAgent - Servizi IPSEC
E:\WINDOWS\System32\lsass.exe
Stato: File TROVATO

67 - 14/01/2007 - 18:22:44
29
ProtectedStorage - Archiviazione protetta
E:\WINDOWS\system32\lsass.exe
Stato: File TROVATO

68 - 14/01/2007 - 18:22:44
0
NvCplDaemon
RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
Stato: File TROVATO

69 - 14/01/2007 - 18:22:44
29
RpcSs - RPC (Remote Procedure Call)
E:\WINDOWS\system32\svchost -k rpcss (E:\WINDOWS\system32\rpcss.dll)
Stato: File NON trovato

70 - 14/01/2007 - 18:22:44
29
SamSs - Gestione account di protezione (SAM)
E:\WINDOWS\system32\lsass.exe
Stato: File TROVATO

71 - 14/01/2007 - 18:22:44
29
Schedule - Utilità di pianificazione
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\system32\schedsvc.dll)
Stato: File TROVATO

72 - 14/01/2007 - 18:22:44
29
seclogon - Accesso secondario
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\seclogon.dll)
Stato: File TROVATO

73 - 14/01/2007 - 18:22:44
29
SENS - Notifica eventi di sistema
E:\WINDOWS\system32\svchost.exe -k netsvcs (E:\WINDOWS\system32\sens.dll)
Stato: File TROVATO

74 - 14/01/2007 - 18:22:44
29
ShellHWDetection - Rilevamento hardware shell
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\shsvcs.dll)
Stato: File TROVATO

75 - 14/01/2007 - 18:22:44
29
Spooler - Spooler di stampa
E:\WINDOWS\system32\spoolsv.exe
Stato: File TROVATO

76 - 14/01/2007 - 18:22:44
29
srservice - Servizio Ripristino configurazione di sistema
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\srsvc.dll)
Stato: File TROVATO

77 - 14/01/2007 - 18:22:44
29
Themes - Temi
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\shsvcs.dll)
Stato: File TROVATO

78 - 14/01/2007 - 18:22:44
29
TrkWks - Manutenzione collegamenti distribuiti client
E:\WINDOWS\system32\svchost.exe -k netsvcs (E:\WINDOWS\system32\trkwks.dll)
Stato: File TROVATO

79 - 14/01/2007 - 18:22:44
29
uploadmgr - Upload Manager
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll)
Stato: File TROVATO

80 - 14/01/2007 - 18:22:44
29
viritsvclite - Virit eXplorer Lite
E:\VEXPLITE\viritsvc.exe
Stato: File TROVATO

81 - 14/01/2007 - 18:22:44
29
W32Time - Ora di Windows
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\w32time.dll)
Stato: File TROVATO

82 - 14/01/2007 - 18:22:44
29
WebClient - WebClient
E:\WINDOWS\System32\svchost.exe -k LocalService (E:\WINDOWS\System32\webclnt.dll)
Stato: File TROVATO

83 - 14/01/2007 - 18:22:44
29
winmgmt - Strumentazione gestione Windows
E:\WINDOWS\system32\svchost.exe -k netsvcs (E:\WINDOWS\system32\wbem\WMIsvc.dll)
Stato: File TROVATO

84 - 14/01/2007 - 18:22:44
29
WmdmPmSp - Numero di serie del supporto portatile
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\mspmspsv.dll)
Stato: File TROVATO

85 - 14/01/2007 - 18:22:44
29
wuauserv - Aggiornamenti automatici
E:\WINDOWS\system32\svchost.exe -k netsvcs (E:\WINDOWS\System32\wuauserv.dll)
Stato: File TROVATO

86 - 14/01/2007 - 18:22:44
29
WZCSVC - Zero Configuration reti senza fili
E:\WINDOWS\System32\svchost.exe -k netsvcs (E:\WINDOWS\System32\wzcsvc.dll)
Stato: File TROVATO

87 - 14/01/2007 - 18:22:44
37
AFD - Ambiente supporto di rete AFD
\SystemRoot\System32\drivers\afd.sys
Stato: File NON trovato

88 - 14/01/2007 - 18:22:44
37
irda - Protocollo IrDA
System32\DRIVERS\irda.sys
Stato: File TROVATO

89 - 14/01/2007 - 18:22:44
0
nwiz
nwiz.exe /install
Stato: File TROVATO

90 - 14/01/2007 - 18:22:44
40
Default_Page_URL
http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
Stato: File NON trovato

91 - 14/01/2007 - 18:22:44
41
Default_Search_URL
http://www.microsoft.com/isapi/redir.dl ... r=iesearch
Stato: File NON trovato

92 - 14/01/2007 - 18:22:44
43
Search Page
http://www.microsoft.com/isapi/redir.dl ... r=iesearch
Stato: File NON trovato

93 - 14/01/2007 - 18:22:44
44
Start Page
http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
Stato: File NON trovato

94 - 14/01/2007 - 18:22:44
45
CustomizeSearch
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
Stato: File NON trovato

95 - 14/01/2007 - 18:22:44
46
SearchAssistant
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Stato: File NON trovato

96 - 14/01/2007 - 18:22:44
50
Search Page
http://www.microsoft.com/isapi/redir.dl ... r=iesearch
Stato: File NON trovato

97 - 14/01/2007 - 18:22:44
51
Start Page
http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
Stato: File NON trovato

98 - 14/01/2007 - 19:30:14
0
AdslTaskBar
rundll32.exe stmctrl.dll,TaskBar
Stato: File TROVATO

99 - 14/01/2007 - 19:33:59
27
000000000013
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

100 - 14/01/2007 - 19:33:59
27
000000000014
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

101 - 14/01/2007 - 19:33:59
27
000000000015
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

102 - 14/01/2007 - 19:33:59
27
000000000016
E:\WINDOWS\system32\mswsock.dll
Stato: File TROVATO

103 - 15/01/2007 - 11:18:49
0
Cmaudio
RunDll32 cmicnfg.cpl,CMICtrlWnd
Stato: File TROVATO

104 - 16/01/2007 - 20:32:42
29
DLLHOST32 - Windows Host Services
"E:\WINDOWS\system\dllhost.exe"
Stato: File TROVATO

105 - 17/01/2007 - 22:00:04
36
{B41DB860-8EE4-11D2-9906-E49FADC173CA}
E:\Programmi\WinRAR\rarext.dll
Stato: File TROVATO

106 - 18/01/2007 - 18:54:00
0
KAVPersonal50
"C:\Programmi\antivirus\kasperky\Kaspersky Anti-Virus Personal\kav.exe" /minimize
Stato: File TROVATO

107 - 18/01/2007 - 18:54:00
36
{dd230880-495a-11d1-b064-008048ec2fc5}
C:\Programmi\antivirus\kasperky\Kaspersky Anti-Virus Personal\shellex.dll
Stato: File TROVATO

108 - 18/01/2007 - 18:54:00
29
kavsvc - kavsvc
"C:\Programmi\antivirus\kasperky\Kaspersky Anti-Virus Personal\kavsvc.exe"
Stato: File TROVATO

109 - 18/01/2007 - 18:55:02
32
E:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Kaspersky Anti-Hacker.lnk
C:\Programmi\antivirus\kasperky\Kaspersky Anti-Hacker\KAVPF.exe
Stato: File TROVATO

110 - 18/01/2007 - 18:55:02
33
E:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\Kaspersky Anti-Hacker.lnk
C:\Programmi\antivirus\kasperky\Kaspersky Anti-Hacker\KAVPF.exe
Stato: File TROVATO

111 - 18/01/2007 - 19:59:02
29
Client Disk Manager - Client Disk Manager
"E:\WINDOWS\system32\symon.exe"
Stato: File TROVATO

112 - 18/01/2007 - 20:07:02
29
MSWindows - Network Windows Service
"E:\WINDOWS\System32\urdvxc.exe" /service
Stato: File TROVATO
Avatar utente
valerioz
Aficionado
Aficionado
 
Messaggi: 28
Iscritto il: lun set 11, 2006 12:01 pm

Messaggioda Amantide » sab gen 20, 2007 2:21 pm

Intanto proviamo a disabilitare qualche servizio fasullo che potrebbe essere la causa dell'impossibiltà di usare quel programmi.
vai su Start--> Esegui--> scivi CMD e premi Ok.
Incolla questa stringa sc stop MSWindows e premi Invio, poi quest' altra sc delete MSWindows
Dopo esegui anche questi due:
sc stop Client Disk Manager
sc delete Client Disk Manager

Scarica ed installa A-squared e riavvia il pc in modalità provvisoria. tenta di eliminare manualmente questi file URDVXC.EXE e SYMON.EXE, si trovano entrambi in E:\WINDOWS\system32\, dopo di che fai la scansione completa con A-squared.
Vediamo se in questo modo riusciamo almeno a sbloccare Hijackthis e Gmer.

***edit***
Scusa, prima ho avuto solo un attimo per leggere il tuo post e darti la risposta, ora con più calma ho riletto tutto log e si vede anche questo file da eliminare:
E:\WINDOWS\system\dllhost.exe
...e questo servizio da cancellare (sempre da CMD):
sc stop DLLHOST32
sc delete DLLHOST32
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda valerioz » sab gen 20, 2007 4:24 pm

Ciao Amantide,
ma dllhost.exe non è un processo di Windows?

Mi è venuto il dobbio perché cercando in google mi risulta essere un processo valido, anche se in acuni siti viene segnalato come worm... [uhm]

Boh....

comunque stasera faccio tutto (ora sono al lavoro e non riesco a farlo) e poi ti riscrivo...

Valerio
Avatar utente
valerioz
Aficionado
Aficionado
 
Messaggi: 28
Iscritto il: lun set 11, 2006 12:01 pm

Messaggioda Amantide » sab gen 20, 2007 4:48 pm

Il file legittimo dllhost.exe si trova in X:\WINDOWS\system32\ , tu devi fare attenzione ad eliminare solo il dllhost.exe che si trova in E:\WINDOWS\system\
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda valerioz » lun gen 22, 2007 1:37 pm

Ciao Amantide,
ho fatto tutto quello che mi hai detto, ma hanno funzionato soltanto i comandi "sc stop MSWindows" e "sc delete MSWindows", per gli altri mi diceva che il servizio era inesistente.
Ho comunque provveduto a rimuovere i files indicati e le voci nel registro, nonchè tutti i servizi sospetti ad essi legati.
Sono così riuscito a far ripartire Hijack !!! [applauso+]

ecco il log... sembrerebbe pulito...


...il processo msiexec.exe è normale?

ciao e grazie di tutto!
Valerio


Logfile of HijackThis v1.99.1
Scan saved at 15.23.06, on 21/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programmi\Roxio\Roxio DVDMax Player\PDVDServ.exe
E:\VEXPLITE\MONLITE.EXE
E:\WINDOWS\System32\rundll32.exe
E:\WINDOWS\System32\RunDll32.exe
E:\Programmi\Prevx1\PXConsole.exe
E:\WINDOWS\System32\ctfmon.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\Programmi\Prevx1\PXAgent.exe
E:\VEXPLITE\viritsvc.exe
C:\Programmi\antivirus\kasperky\Kaspersky Anti-Hacker\KAVPF.exe
E:\WINDOWS\System32\taskmgr.exe
E:\WINDOWS\System32\msiexec.exe
E:\Programmi\antivir\HIJACKTHIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - E:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] E:\Programmi\Roxio\Roxio DVDMax Player\PDVDServ.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] E:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\antivirus\kasperky\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [PrevxOne] "E:\Programmi\Prevx1\PXConsole.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = E:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programmi\antivirus\kasperky\Kaspersky Anti-Hacker\KAVPF.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\antivirus\kasperky\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - E:\Programmi\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas www.tgsoft.it - E:\VEXPLITE\viritsvc.exe
Avatar utente
valerioz
Aficionado
Aficionado
 
Messaggi: 28
Iscritto il: lun set 11, 2006 12:01 pm

Messaggioda Amantide » lun gen 22, 2007 1:44 pm

Fixa solo queste 2 voci:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm

Nel tuo caso il msiexec.exe è un file legittimo. Quando si trova in WINDOWS\system32\ si tratta di un componente di Windows Installer.
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising