Condividi:        

Processo fantasma in win xp

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Processo fantasma in win xp

Postdi riccardo77 » 02/02/06 11:19

Ciao a tutti,
Vorrei chiederve un consiglio su come fare per scoprire quale applicazione mi avvia un processo strano.
Il, o meglio, i processi si avviano di tanto in tanto e hanno nomi quali s1qo.2.exe - s1vc.2.exe - s4rk.1.exe ecc. Questi processi si avviano a caso, non è mai lo stesso; me li ritrovo in c/doc&settings/nome Utente/Imp. locali/temp Io li elimino da li ma loro puntualmente ritornano.Non riesco a risalire a chi li fa partire;Quando questi si avviano mi compare la clessidra nel puntatore del mouse.
Qualcuno di voi ha già avuto esperienze?Consigli?
Aiutooooo!!
Grazie,Riki
riccardo77
Utente Senior
 
Post: 161
Iscritto il: 22/04/02 17:45

Sponsor
 

Postdi Dylan666 » 02/02/06 13:22

Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi riccardo77 » 02/02/06 13:40

Dylan666 ha scritto:Posta un log di HijackThis ;)
http://www.pc-facile.com/guida_hijackthis_t148946/



Ok ecco fatto

Logfile of HijackThis v1.99.1
Scan saved at 13.36.46, on 02/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Virtual CD v4 SDK\system\vcssecs.exe
C:\Programmi\Norton Internet Security\NISSERV.EXE
C:\Programmi\Norton Internet Security\SymProxySvc.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\ESB.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Norton Internet Security\IAMAPP.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\Programmi\Mouse Driver\mousedriver.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\108Mbps Wireless LAN Adapter\WLANPRO.exe
C:\Programmi\Norton Internet Security\ATRACK.EXE
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Microsoft Money\System\urlmap.exe
C:\Documents and Settings\Riccardo\Desktop\Nuova cartella\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:808;gopher=192.168.0.1:808;http=192.168.0.1:808;https=192.168.0.1:808;socks=192.168.0.1:1080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: MSX - {037CE595-57CB-4EB5-9775-97BC112F3BB3} - C:\WINDOWS\system32\msx.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Active sync - {25E1A054-1262-459F-9F14-BF06148F4253} - C:\WINDOWS\system32\kaboom.dll (file missing)
O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\system32\kaboom.dll (file missing)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Programmi\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [iamapp] C:\Programmi\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [TrustInstaller] Q:\Setup.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [SANSUNMouse ] C:\Programmi\Mouse Driver\mousedriver.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = C:\Programmi\108Mbps Wireless LAN Adapter\WLANPRO.exe
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Suggestions - {2223664C-1942-4276-9A2D-E8D8F547C5D2} - res://EffiPeled (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Money Viewer - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Programmi\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.packardbell.it/center
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/ ... 1/chat.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} (Groove Control) - http://download.shockwave.com/pub/otoy/OTOYAX.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {D147430C-86CD-4E6F-A807-93FBC496D201} (NCSLayeredView Class) - http://ecozero.liguriainrete.it/ecwplugins/ncs1.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{41F93A59-5DE3-44EF-8981-A7FC800483A6}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{41F93A59-5DE3-44EF-8981-A7FC800483A6}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programmi\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programmi\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (Q) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Programmi\Virtual CD v4 SDK\system\vcssecs.exe




Ho visto che c'è un bho...la cosa mi puzza!!

Grazie riki
riccardo77
Utente Senior
 
Post: 161
Iscritto il: 22/04/02 17:45

Postdi Dylan666 » 02/02/06 13:49

Devo dire che ce ne sono una marea che non mi piacciono...

Incolla il log qui:
http://hijackthis.de/it

E leva tutti i gialli e i rossi che non conosci e di cui non trovi spiegazioni convincenti su Google ;)

Intanto sposto nella sezione virus/spyware (che ne hai è certo, ora vediamo quanti)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi riccardo77 » 02/02/06 14:52

Dunque di gialli ho:

C:\Programmi\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\Programmi\Mouse Driver\mousedriver.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe
O4 - HKLM\..\Run: [TrustInstaller] Q:\Setup.exe
O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420
O4 - HKLM\..\Run: [SANSUNMouse ] C:\Programmi\Mouse Driver\mousedriver.exe
O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = C:\Programmi\108Mbps Wireless LAN Adapter\WLANPRO.exe
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O16 - DPF: {77E32299-629F-43C6-AB77-6A1E6D7663F6} (Groove Control) - http://download.shockwave.com/pub/otoy/OTOYAX.cab
O16 - DPF: {D147430C-86CD-4E6F-A807-93FBC496D201} (NCSLayeredView Class) - http://ecozero.liguriainrete.it/ecwplugins/ncs1.cab
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Programmi\Virtual CD v4 SDK\system\vcssecs.exe


Sono tutti segnati in giallo ma tutti riconducibili ad un qualche software installato sul pc!

Invece quelli segnati in rosso sono:

O9 - Extra button: Suggestions - {2223664C-1942-4276-9A2D-E8D8F547C5D2} - res://EffiPeled (file missing)
-> di questo dice che è tenuto inutilmente e andrebbe eliminato, penso sia tenuto in quarantena da norton

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Programmi\Microsoft Money\System\mnyviewer.dll
-> dice che è sospetto ma anche questo fa parte di un software

O2 - BHO: Site Update Watcher - {A853979C-2A9A-4ACB-8975-5740A7E26CB4} - C:\WINDOWS\system32\kaboom.dll (file missing)
-> questo ne sono sicuro è tenuto in quarantena da norton

O2 - BHO: Active sync - {25E1A054-1262-459F-9F14-BF06148F4253} - C:\WINDOWS\system32\kaboom.dll (file missing)
-> idem come sopra

O2 - BHO: MSX - {037CE595-57CB-4EB5-9775-97BC112F3BB3} - C:\WINDOWS\system32\msx.dll (file missing)
-> idem come sopra

:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
-> dice che è sospetto ma anche questo fa parte di un software


Quindi per quel che so io solo quelli che sono in quarantena sono virus.

Voi cosa ne pensate?
Grazie,Riki
riccardo77
Utente Senior
 
Post: 161
Iscritto il: 22/04/02 17:45

Postdi Dylan666 » 02/02/06 15:15

backweb-4448364.exe
Leggo che fa parte della Active Surf di Packard Bell ma segnalazioni come questa mi lasciano poco tranquillo...
http://www.2-spyware.com/file-backweb-4448364-exe.html

mousedriver.exe
Hai effettivamente un SANSUNMouse?

Intanto leverei le voci con "(file missing)" per una questione di ordine e pulizia ;)

Setup.exe
Se è un file di setup perché viene lanciato all'avvio? :undecided:
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi riccardo77 » 02/02/06 15:31

Dylan666 ha scritto:backweb-4448364.exe
Leggo che fa parte della Active Surf di Packard Bell ma segnalazioni come questa mi lasciano poco tranquillo...
http://www.2-spyware.com/file-backweb-4448364-exe.html


Ok questo lo posso togliere tanto non è mai servito a niente!!

Dylan666 ha scritto:mousedriver.exe
Hai effettivamente un SANSUNMouse?


Mah...il mouse è della Extreme technology nella cartella c'è questo eseguibile con l'icona del mouse e in basso a destra mi ritrovo l'iconcina del mouse, cliccandola si apre il sw dove setto i vari pulsanti del mouse

Dylan666 ha scritto:Intanto leverei le voci con "(file missing)" per una questione di ordine e pulizia ;)


Si le elimino subito!!

Dylan666 ha scritto:Setup.exe
Se è un file di setup perché viene lanciato all'avvio? :undecided:


Eh questo è un bel dilemma...comunque la lettera del driver è Q che indica il cdrom!!

Grazie,Riki
riccardo77
Utente Senior
 
Post: 161
Iscritto il: 22/04/02 17:45

Postdi Dylan666 » 02/02/06 15:39

mmmmm, forse con uno di questi due potresti riuscire a trovare da chi dipendono i processi sospetti:

http://www.sysinternals.com/Utilities/P ... lorer.html

http://www.sysinternals.com/Utilities/Handle.html

Oppure potresti ricuscire a copiarne uno in un'altra cartella e scansionarlo con l'antivirus, magari anche con quello sul PC di altri amici che ne usano di diversi dal tuo (non c'è problema a tasportarlo, basta non eseguirlo e non si infetta nessuno ;)).
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi riccardo77 » 02/02/06 16:08

Ok,ci provo e vedo cosa ne esce fuori!
Grazie ancora,
Riki
riccardo77
Utente Senior
 
Post: 161
Iscritto il: 22/04/02 17:45


Torna a Sicurezza e Privacy


Topic correlati a "Processo fantasma in win xp":

sito fantasma
Autore: wallace&gromit
Forum: Forum off-topic
Risposte: 0

Chi c’è in linea

Visitano il forum: Nessuno e 28 ospiti