Olimpo Informatico

giulio3x

Ciao a tutti, ho avg8.5 e ciclicamente mi appare il messaggio di errore e avviso che due file dal nome strano e in formato .jpg, sono presenti in una cartella c: user_utente, cerco sempre di eliminarli ma si ricreano sempre, inoltre avg non ha alcun effetto con questi file.

inoltre avg mi dice che questi file sono collegati al processo SERVICES.EXE, sul task manager ho appunto visto che è attivo questo processo però è scritto tutto in maiuscolo e invece deve essere minuscolo, quindi credo che il processo che è legittimo di windows è stato in qualche modo infettato, vi posto un log di hijack this che mi dite un po cosa posso fare, grazie!

N.B: sul registro di sistema ho fatto trova --> SERVICES.EXE
mi ha trovato che services.exe è dentro a una cartella alerter --> %SystemRoot%\System32\services.exe

Inoltre se su google digito SERVICES.EXE e clicco sui vari link che google mi trova per avere delle info a riguardo le pagine mi vengono in automatico chiuse ancora prima che io possa leggere cosa c'è scritto.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.09.30, on 04/06/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\UltraVNC\WinVNC.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\AVG\AVG8\avgrsx.exe
C:\WINNT\Explorer.EXE
C:\Programmi\FreePDF_XP\fpassist.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\Microsoft Office\Office\OUTLOOK.EXE
C:\Programmi\AVG\AVG8\avgcsrvx.exe
C:\Programmi\Microsoft Office\Office\1040\wfxmsrvr.exe
C:\PROGRA~1\MICROS~2\Office\1040\OLFMOD32.EXE
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\HIJACKTHIS\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\winnt\system32\userinit.exe,"c:\winnt\system32\defragfind.exe",
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinVNC] "C:\Programmi\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [E-nrgyPlus] C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programmi\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.energy-factor.com
O15 - Trusted Zone: *.hardcorefantasyland.com
O15 - Trusted Zone: *.hardfootballbabes.com
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://79.4.1.38/activex/AxisCamControl.cab
O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://download.energy-factor.com/dialer/it/activex_5237_it.exe
O20 - Winlogon Notify: avgrsstarter - C:\WINNT\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\System32\drivers\CDAC11BA.EXE
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programmi\UltraVNC\WinVNC.exe

--
End of file - 4856 bytes

bdoriano

Wow!!! Windows 2000!!! Smile

Fai queste operazioni preliminari:

Pulisci i files temporanei con CCleaner
Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
Segui le istruzioni di questo topic per usare MBAM.
scarica e installa la versione Free di SuperAntispyware:
la configuri come da immagini:

esegui una scansione completa del sistema
Fai questa scansione con SystemScan.
Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
- Carica il log di MBAM su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
- Carica il log di SuperAntiSpyware su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
- Carica il log di SystemScan su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.

giulio3x

ehm meglio che non installi tutta quella calca di programmi, pensate solo che è un pc aziendale quindi capite che già aver installato hijackthis è tanto, se per cortesia mi date una mano con hijackthis, il quale ho già postato il log ve ne sarei grato

Er_Kratos · Semidio Registrato: 30/05/08 13:47 Messaggi: 219

Con hijackthis non si rimuovono i virus Wink

giulio3x

bdoriano

Purtroppo, nel tuo caso, hijackthis non è sufficiente. Rolling Eyes

Se il pc è aziendale, devi rivolgerti al tuo staff tecnico che risolverà i problemi (hai diverse infezioni in corso). Ciao

giulio3x

bdoriano

Energy Plus, trusted zone di siti pornografici, IE non aggiornato e poi chissà cos'altro che hijackthis non riesce a individuare (per esempio: eventuali rootkit).

Comunque, per principio, non è mia prassi dare indicazioni dettagliate su pc aziendali. Non conoscendo la configurazione standard della vostra rete, si rischia di creare più danni che altro.

giulio3x

bdoriano

Prego e... buona rimozione. Wink