Condividi:        

spooisv.exe!?!?!?!?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

spooisv.exe!?!?!?!?

Postdi ossidia » 02/04/06 11:45

Salve, sono un'imbranata disperata... il mio pc ormai da settimane mi da seri problemi: Nonostante avast e zonealarm il file C\windows\system32... si infetta in continuazione (in 10 ore di collegamento mi arrivan dai 20 ai 50 msg di virus!!!!!) con malware del tipo: win 32:sality-d-dll. Altra cosa molto inquietante il task manager è zeppo di .exe sconusciuti, es. spooisv.exe, che ricompaiono una volta eliminati (brrrrrr).
grazie in anticipo a chi avrà la santa pazienza d'aiutarmi.
"....e il giorno della fine non ti servirà l'inglese..." spero nemmeno il pc
ossidia
Newbie
 
Post: 4
Iscritto il: 02/04/06 11:13

Sponsor
 

Postdi fabrizius » 02/04/06 13:21

Ciao
quali sono le operazioni che hai gia effettuato?se vuoi posta un log hijackthis e vediamo cosa si puo fare
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi ossidia » 03/04/06 08:46

:) :) grazie fabrizius! ho scaricato quel nonsocosasia che mi ha aiutato ad eliminare un pò di immondizia, adesso sembra andare meglio :D
"....e il giorno della fine non ti servirà l'inglese..." spero nemmeno il pc
ossidia
Newbie
 
Post: 4
Iscritto il: 02/04/06 11:13

Postdi fabrizius » 03/04/06 10:46

Ciao,
vorresti dire che hai fixato le voci sospette con hijackthis?
Comunque se hai ancora bisogno noi siamo qui per aiutarti, ;)
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi ossidia » 03/04/06 18:23

:cry: Ho parlato troppo presto....., si, ho eliminato i file sospetti, uno però non sono riuscita ad estirparlo perchè protetto (wuass32.exe) ,si trova all'interno di quel sistem 32 (cos'èèèèèèèèèèè!!!?) che ha ricominciato ad infettarsi sigh.....
"....e il giorno della fine non ti servirà l'inglese..." spero nemmeno il pc
ossidia
Newbie
 
Post: 4
Iscritto il: 02/04/06 11:13

Postdi Luke57 » 03/04/06 18:34

Ciao, a questo punto ci hai incuriosito ;) , posta un log di hijackthis, fatto dalla modlità normale.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi ossidia » 04/04/06 12:30

Codice: Seleziona tutto
Logfile of HijackThis v1.99.1
Scan saved at 13.26.05, on 04/04/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: CBHOBJObj Object - {8A406068-D45C-40B9-A096-38AC717FB608} - C:\WINDOWS\BHOBJ.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Microsoft (R) User Authorization Service] C:\WINDOWS\System32\wuass32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7FB924C-CA78-4A71-AF0A-0A23108FCD9D}: NameServer = 85.37.17.50 85.38.28.76
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows User Authorization Service (UserAuthSvc) - Unknown owner - C:\WINDOWS\System32\wuass32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




ecco, spero sia questo.
"....e il giorno della fine non ti servirà l'inglese..." spero nemmeno il pc
ossidia
Newbie
 
Post: 4
Iscritto il: 02/04/06 11:13

Postdi Luke57 » 04/04/06 12:58

Ciao, apri hijackthis, clicchi "do a system scan only", cerci e spunti le seguenti voci:
O2 - BHO: CBHOBJObj Object - {8A406068-D45C-40B9-A096-38AC717FB608} - C:\WINDOWS\BHOBJ.dll (file missing)
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Microsoft (R) User Authorization Service] C:\WINDOWS\System32\wuass32.exe
O23 - Service: Windows User Authorization Service (UserAuthSvc) - Unknown owner - C:\WINDOWS\System32\spooIsv.exe

premi fix checked
Poi vai in start e fai:
start>esegui>sc delete UserAuthSvc ( lo copi nello spazio)>OK
Riavvii in modalità provvisoria (Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows.Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
Avvia Gestione risorse e imposta la visualizzazione completa dei files, così:
Seleziona strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click Ok
cerca e cancella i seguenti file:
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\System32\wuass32.exe
vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato tu
cancella il contenuto di Windows\temp, windows\tmp
sulle opzioni Internet cancella la cache di IE, i cookies
svuota il cestino
riparti in modalità normale
posta nuovo log
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi fabrizius » 04/04/06 13:06

Ciao Luke,mi hai anticipato solo che questa volta prima di inviare ho controllato se non ci fosse già una risposta :P

@ ossidia
Oltre al consiglio di Luke aggiungo solo che dovresti fare l'aggiornamento del sp2 + IE
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55


Torna a Sicurezza e Privacy

Chi c’è in linea

Visitano il forum: Nessuno e 20 ospiti