Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Messaggio di errore file sospetto all'avvio di windows

Problemi con i sistemi operativi di casa Microsoft? Questa è la sezione che fa per te!

Messaggio di errore file sospetto all'avvio di windows

Messaggioda gio80 » lun lug 21, 2008 4:21 pm

Ciao a tutti avrei il seguente problema :

quando avvio windows xp sp3 mi compare un errore associato al file kxvo.exe .. che secondo quanto letto potrebbe essere un malware...

allego un log fatto con HiJackThis :




Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17.09.59, on 21/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Programmi\BitDefender\BitDefender 2008\bdagent.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\WINDOWS\ATKKBService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programmi\File comuni\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programmi\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Giovanni\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\ieso0.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programmi\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programmi\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programmi\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Programmi\File comuni\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programmi\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programmi\File comuni\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 6241 bytes



vorrei gentilmente sapere da voi che siete esperti...quali righe correggere [applauso+] [8D]
Avatar utente
gio80
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: gio lug 17, 2008 4:14 pm

Messaggioda Fred » lun lug 21, 2008 4:48 pm

1) posta i log secondo le regole
2) O4 - HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe è un componente di un trojan, eliminalo e fai una scansione con un AV.
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe

Messaggioda Fred » lun lug 21, 2008 4:58 pm

è un virus abbastanza recente che si diffonde nei posti pubblici di connessione (internet cafe..ecc), tramite msn messenger e tramite i supporti flash…

(QUINDI ATTENZIONE SE VI CAPITA DI CONNETTERE SPESSO DEI DRIVE DIVERSI AL VS PC)

inoltre consiglio in un primo momento di effettuare scansioni approfondite anche con un buon anti spyware (avast lo avete aggiornato all’ utlima versione 4.8, la versione con anti rootkit e antispyware integrata )

di controllare i processi all’ avvio (anche di utilizzare quindi msconfig) e l’ eventuale presenza di .exe sospetti e quindi terminarli..

comunque invio una procedura applicabile a tutti i malware che utilizzano un file .inf :

- Apri il Task Manager e nella lista dei processi termina “explorer.exe” e “wscript.exe”
- Open up File –> New Task (Run) nel Task manager
- Digita “cmd” e premi Invio
immetti
“del /a:h /f c:\autorun.*”
naturalmente se hai drive/partition multipli, dovrai ripetere questo passo per ciascuno, sostituendo “C:” con la lettera del drive appropriato.
- Vai nella directory Windows\System32 immettendo “cd c:\windows\system32”
immetti “dir /a:h /f hbq*.*”
- Se noti dei file nominati “hbq0.dll o hbq0.exe o hbo.exe, usa
“Del /a:h /f avp*.exe”
“Del /a:h /f avp*.dll”
Per eliminarli.
- Open up File –> New Task (Run) nel Task manager, digita “regedit”
- Naviga verso:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Se vi sono immissioni come “ kxvo.exe” eliminale. Quindi pure se vi sono altre immissioni sospette
- Fai una ricerca completa nel tuo registro per “ntdelect.com” o “hbq.exe” o “kxvo.exe” ed elimina tutto quello che trova a riguardo.
- Per ripristinare le opzioni della cartella (“mostra I files & le cartelle nascoste”), Naviga verso
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL
- Trova la chiave “CheckedValue” … Dovrebbe essere una chiave DWORD. Se non lo è eliminala. Quindi crea una nuova chiave nominata “CheckedValue” come un DWORD (esadecimale) con valore di 1. Ora “mostra I files & le cartelle nascoste” dovrebbe funzionare normalmente.

Ho trovato il seguente tool in caso estremo dovrebbe poter dare una mano, non l’ ho provato però e non posso garantirne il funzionamento, quindi consiglio la procedura manuale in ogni caso


http://www.filination.com/tech/2007/11/ ... ool-patch/


questo è anche un link che hanno postato su alcuni forum

http://andback.wordpress.com/2008/03/20 ... virus-v13/


E prova a seguire queste istruzioni che ho trovato in rete
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe

Messaggioda gio80 » lun lug 21, 2008 4:59 pm

Grazie Fred...ma secondo te il resto tutto ok...o ci sono altre cose da correggere...ad esempio:
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe

...cosa ne pensi...? grazie per l'immediata risposta [^]
Avatar utente
gio80
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: gio lug 17, 2008 4:14 pm

Messaggioda Fred » lun lug 21, 2008 8:03 pm

gio80 ha scritto:Grazie Fred...ma secondo te il resto tutto ok...o ci sono altre cose da correggere...ad esempio:
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe

...cosa ne pensi...? grazie per l'immediata risposta [^]
Ops, mi era sfuggito ckvo.exe. Ma hai fatto girare quei tools e fatto la scansione AV?
Asus M3N78SE;AMD Athlon 64X2 5200+@5400;2 GB DDR2;NVIDIA GeForce 9500GT;Windows 7 Pro 64bit;
AcerASPIRE5230;Windows 7 Pro 64bit
Skype: nellopc90
Avatar utente
Fred
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 3623
Iscritto il: mer apr 27, 2005 4:13 pm
Località: Urbe


Torna a Sistema Operativo

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising