Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
problemi con cbxuuvt.dll [risolto]
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
e649600
Mortale devoto
Mortale devoto


Registrato: 26/12/06 04:44
Messaggi: 7
MessaggioInviato: 26 Dic 2006 04:57    Oggetto: problemi con cbxuuvt.dll [risolto] Rispondi citando
ciao a tutti,
ho reinstallato un pc con xp sp2 e tutti gli ultimi aggiornamenti al sito microsoft.
Subito dopo ho messo l'antivirus "antivir" e IE 7.
Alla fine di queste installazioni mi sono ritrovato la dll cbxuuvt nella directory system32.
L'antivirus mi segnala in questo file numerosi virus/trojan tra cui vundo.j ma non riesce a rimuoverli neanche entrando in modalità provvisoria.
Se provo a vedere le proprietà del file si blocca il pc.

chi mi può aiutare?

Grazie

Spostato nella sezione giusta, proviene da Windows - moved by Smjert
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 26 Dic 2006 11:56    Oggetto: Rispondi citando
Ciao! Se hai veramente il trojan Vundo prova a scaricare il removal tool del Vundo.

Mettilo sul desktop e avvialo.
Quando ti si apre premi su Scan for Vundo.
Quando ha finito la scansione premi su Remove Vundo.
Ti chiederà se vuoi rimuovere i files, tu rispondi YES
Quando cliccherai yes il desktop diventerà bianco perchè il VundoFix inizierà a rimuovere i files.
Quando avrà finito ti chiederà se può riavviare il pc, premi OK

Dimmi come ti è andata, se hai ancora problemi, altrimenti proviamo in un altro modo.
Top
Profilo Invia messaggio privato HomePage
e649600
Mortale devoto
Mortale devoto


Registrato: 26/12/06 04:44
Messaggi: 7
MessaggioInviato: 26 Dic 2006 21:01    Oggetto: cbxuuvt.dll Rispondi citando
grazie,
ho pravato ma senza successo. il programma dopo lo scan mi dice che non ha trovato nessun virus di tipo vundo.
Io credo che dovrei riuscire a rimuovere questa dll cbxuuvt che viene invocata all'apertura di ogni programma
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 26 Dic 2006 21:11    Oggetto: Rispondi citando
Ok fai queste 2 operazioni:

Scarica HijackThis, decomprimilo in una cartella tutta sua non temporanea (lo puoi mettere ad esempio in C:\HijackThis).

Avvia HijackThis, premi Do a system scan and save a log file, ti si aprirà una finestra di notepad con il risultato della scansione, posta qui il suo contenuto.

Carica quella dll (se sai l'ubicazione, se non la sai usa la ricerca di windows per trovarla) su questo sito link (premi Sfoglia, seleziona il file e poi premi Send, aspetti che il file venga controllato da tutti i vari antivirus e poi copi qua il risultato).
Top
Profilo Invia messaggio privato HomePage
e649600
Mortale devoto
Mortale devoto


Registrato: 26/12/06 04:44
Messaggi: 7
MessaggioInviato: 27 Dic 2006 19:20    Oggetto: Rispondi citando
Questo è il primo risultato

Logfile of HijackThis v1.99.1
Scan saved at 18.08.01, on 27/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
C:\Programmi\Novatix\Cyberhawk\CHTray.exe
C:\Programmi\File comuni\Novatix\Cyberhawk\CHService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\hijsckthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - C:\WINDOWS\system32\cbxuuvt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [Cyberhawk] C:\Programmi\Novatix\Cyberhawk\CHTray.exe
O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe
O4 - HKLM\..\RunServices: [Win32] winnnit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [Win32] winnnit.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166399129884
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166399108233
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E780BE0-BD96-4627-8779-BA2996573E8C}: NameServer = 85.37.17.16 85.38.28.68
O20 - Winlogon Notify: cbxuuvt - C:\WINDOWS\SYSTEM32\cbxuuvt.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cyberhawk - Unknown owner - C:\Programmi\File comuni\Novatix\Cyberhawk\CHService.exe" service (file missing)
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: Microsoft BIOS Drivers - Unknown owner - C:\WINDOWS\system32\vcmon.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

Questo è il secondo risultato:
Tutti gli antivirus hanno dato il msg : no virus found

mentre le informazioni sono le seguenti:
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709


mi sembra strano che la file size è di 0 byte mentre dai dettagli di risorse del computer riporta 23k
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 27 Dic 2006 20:10    Oggetto: Rispondi citando
Vedo che sei pieno zeppo di Trojan/Backdoor e chi più ne ha più ne metta!!

Inoltre credo che tu abbia il LinkOptimizer.

Vediamo di silurare quegli infami!

Avvia HijackThis, premi Do a system scan only, spunta queste voci e poi premi FixChecked:
Citazione:
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - C:\WINDOWS\system32\cbxuuvt.dll
O4 - HKLM\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKLM\..\RunServices: [MS System Call Function] MSSCF32.exe
O4 - HKLM\..\RunServices: [Win32] winnnit.exe
O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe
O4 - HKCU\..\Run: [Win32] winnnit.exe
O20 - Winlogon Notify: cbxuuvt - C:\WINDOWS\SYSTEM32\cbxuuvt.dll
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: Microsoft BIOS Drivers - Unknown owner - C:\WINDOWS\system32\vcmon.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)


Scarica questi due tool camuffati per la rimozione del L.O.

Prevx
http://www.prevx.com/gromozon.asp

Symantec
http://www.mytempdir.com/1100940

Fai girare prima il tool Prevx, alla fine della scansione ti chiederà di riavviare il pc, tu accetta.

Dopo che si è riavviato il pc tu riavvialo ancora però in Modalità Provvisoria (quando ti fa il calcolo della memoria, ti segna gli hd collegati ecc premi continuamente F8 finchè non appare un menu, da lì scegli con le freccie la modalità)

Quando sei in quella modalità fai girare il tool della Symantec.

Finita la scansione:
Citazione:
Apri una cartella qualunque, vai su
Strumenti->Opzioni Cartella->scheda Visualizzazione,
spunta la voce "Visualizza cartelle e file nascosti", togli la spunta a
"Nascondi file protetti di sistema" (digli di sì).


Citazione:
Usa la ricerca di Windows e trova questi file: MSSCF32.exe, winnnit.exe (ricordati di attivare la ricerca nelle cartelle e nei file nascosti andando
in "Altre opzioni avanzate" e spuntando la voce
"Cerca nei file e nelle cartelle nascosti").


Se li trovi li cancelli

Cancella anche questi file C:\WINDOWS\SYSTEM32\cbxuuvt.dll, C:\WINDOWS\system\icrss.exe, C:\WINDOWS\system32\vcmon.exe, C:\WINDOWS\System32\irdvxc.exe.

Riavvia il pc in Modalità Normale

Posta un nuovo log di HijackThis, il log del tool Prevx (C:\Gromozon_Removal.log) e del tool Symantec (FixLinkOpt.log)

Confermami di aver fatto tutte le operazioni.
Top
Profilo Invia messaggio privato HomePage
e649600
Mortale devoto
Mortale devoto


Registrato: 26/12/06 04:44
Messaggi: 7
MessaggioInviato: 28 Dic 2006 03:30    Oggetto: Rispondi citando
Sei un mito. Il pc è decisamente più pulito.

primo log:

Logfile of HijackThis v1.99.1
Scan saved at 2.12.50, on 28/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
C:\Programmi\Novatix\Cyberhawk\CHTray.exe
C:\Programmi\Prevx1\PXConsole.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\Programmi\File comuni\Novatix\Cyberhawk\CHService.exe
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Prevx1\PXAgent.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\hijsckthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - (no file)
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [Cyberhawk] C:\Programmi\Novatix\Cyberhawk\CHTray.exe
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166399129884
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166399108233
O20 - Winlogon Notify: cbxuuvt - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cyberhawk - Unknown owner - C:\Programmi\File comuni\Novatix\Cyberhawk\CHService.exe" service (file missing)
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)

secondo log

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.

Non trovo più il log di symantec cmq la situazione mi sembra molto migliore.

Come hai riconosciuto i processi da far rimuovere?

GRAZIE
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 28 Dic 2006 11:21    Oggetto: Rispondi citando
Prova a usare la ricerca di windows per trovare il log.. è abbastanza importante! (si chiama FixLinkOpt.log).

Per quanto riguarda il log di HijackThis.. c'è qualcosa che non hai fixato o che si è "rigenerato".

Avvia HijackThis, premi Do a system scan only, spunta queste voci e poi premi FixChecked:

Citazione:
O2 - BHO: (no name) - {1D8CB8AA-8B54-4D45-817B-0B1123FC2B55} - (no file)
O20 - Winlogon Notify: cbxuuvt - C:\WINDOWS\
O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)


Riavvia il pc, rifai una scansione con HijackThis, le voci ci sono ancora?

e649600 ha scritto:
Come hai riconosciuto i processi da far rimuovere?


Erano processi che prima di tutto non avevo mai visto e che erano perciò di dubbia provenienza, ho girato un po' per la rete e ho capito che non erano processi di windows o di altri programmi.. ma di malware.
Top
Profilo Invia messaggio privato HomePage
e649600
Mortale devoto
Mortale devoto


Registrato: 26/12/06 04:44
Messaggi: 7
MessaggioInviato: 29 Dic 2006 02:20    Oggetto: Rispondi citando
questi due poprio non si riescono a togliere:

O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

che fare?
----------------------------------------------------------------------
il log fixlinkopt è invece il seguente:

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8

Trojan.Linkoptimizer has not been found on your computer.


ciao e grazie di nuovo
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 29 Dic 2006 11:49    Oggetto: Rispondi citando
e649600 ha scritto:
questi due poprio non si riescono a togliere:

O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe (file missing)
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

che fare?


Prova a dare questi comandi:

Vai su Start->Esegui->digita sc stop icrss, dai invio, poi digita sc stop MSDisk, invio, digita sc delete icrss, invio e per ultimo digita sc delete MSDisk, invio.
Prova ad esempio a riavviare il pc, rifai una scansione con HijackThis per vedere se ci sono ancora.
Top
Profilo Invia messaggio privato HomePage
e649600
Mortale devoto
Mortale devoto


Registrato: 26/12/06 04:44
Messaggi: 7
MessaggioInviato: 30 Dic 2006 16:49    Oggetto: Rispondi citando
ciao,
i due comandi sembrano aver funzionato. Ti invio il log di hijacthis prodotto dopo il reboot del pc (spero che sia l'ultimo):

Logfile of HijackThis v1.99.1
Scan saved at 15.42.12, on 30/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
C:\Programmi\Novatix\Cyberhawk\CHTray.exe
C:\Programmi\Prevx1\PXConsole.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\Programmi\File comuni\Novatix\Cyberhawk\CHService.exe
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\Programmi\Alice ti aiuta\bin\mpbtn.exe
C:\Programmi\Prevx1\PXAgent.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijsckthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [Cyberhawk] C:\Programmi\Novatix\Cyberhawk\CHTray.exe
O4 - HKLM\..\Run: [PrevxOne] "C:\Programmi\Prevx1\PXConsole.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166399129884
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166399108233
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cyberhawk - Unknown owner - C:\Programmi\File comuni\Novatix\Cyberhawk\CHService.exe" service (file missing)
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programmi\Prevx1\PXAgent.exe" -f (file missing)

Mi rimane un ultimo dubbio; la riga:
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Dati applicazioni\Prevx\pxbho.dll

rappresenta un possibile problema?

ciao[/quote]
Top
Profilo Invia messaggio privato
Smjert
Dio maturo
Dio maturo


Registrato: 01/04/06 18:19
Messaggi: 1619
Residenza: Perso nella rete
MessaggioInviato: 03 Gen 2007 12:22    Oggetto: Rispondi citando
Eccomi sono tornato.. sperando che ti possa ancora servire il mio aiuto:

Quella voce di HijackThis è stata aggiunta o dal tool prevx o dall'antivirus prevx1 (che forse hai installato), in ogni caso è una voce legittima.

Il tuo log ora è pulito.
Top
Profilo Invia messaggio privato HomePage
e649600
Mortale devoto
Mortale devoto


Registrato: 26/12/06 04:44
Messaggi: 7
MessaggioInviato: 04 Gen 2007 05:54    Oggetto: Rispondi
Grazie di nuovo
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 2 ore
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi