Condividi:        

services.exe

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

services.exe

Postdi ale69 » 03/01/06 10:57

ciao a tutti, ho letto i problemi riguardo all'eseguibile services.exe:
a me compare più volte al giorno il seguente messaggio:
"services.exe ha provocato un errore e verrà chiuso. Sarà necessario riavviare il programma". Ho provato co ad-aware ecc. in modalità provvisoria, ma niente da fare..cosa posso fare?grazie
ale69
Newbie
 
Post: 9
Iscritto il: 03/01/06 10:18

Sponsor
 

Postdi Heba » 03/01/06 12:24

prova qui

http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky@mm.removal.tool.html

ci dovrebbe essere la chiave di rimozione del software, se non viene via fai una scansione con hijackthis.
In internet il saper leggere equivale al saper ascoltare nella realtà.
Chi sa ascoltare possiede le chiavi di molte porte.
Heba
Utente Senior
 
Post: 509
Iscritto il: 16/06/05 15:09
Località: Cremona

Postdi ale69 » 04/01/06 09:47

grazie del suggerimento.
la scansione con il tool per nietsky non ha dato risultati. Con hijackthis non saprei cosa eliminare con sicurezza dal log che mi da. A occhio eliminerei dove ho messo le emoticons, oltre a tutte le trusted zone

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\SERVICES.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\SERVICES.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\System32\RunDll32.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Programmi\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
C:\WINNT\System32\mqsvc.exe
C:\Programmi\MemoRex\MemoRex.exe
C:\Program Files\FerretSoft\WebFerret\WebFerret.exe
C:\Alessandro\software\SICUREZZA\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www001.upp.so-net.ne:3128@DF809J ... A2T4LD.BIZ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tgcom.mediaset.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www001.upp.so-net.ne:3128@DF809J ... search.htm (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www001.upp.so-net.ne:3128@DF809J ... search.htm (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www001.upp.so-net.ne:3128@DF809J ... search.htm (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\SERVICES.EXE :neutral:
:neutral: F2 - REG:system.ini: UserInit=C:\WINNT\System32\Userinit.exe,C:\WINNT\SERVICES.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~2\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~2\SPYWAR~2\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINNT\SERVICES.EXE
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - HKCU\..\Run: [Spyware Doctor] C:\PROGRA~2\SPYWAR~2\swdoctor.exe /Q
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ANTIVIRUS - {0B5F1910-F111-11d2-BB9E-00C05F7956B2} - http://www001.upp.so-net.ne:3128@DF809J ... virus.html (file missing)
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~2\SPYWAR~2\tools\iesdpb.dll
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.linkautomatici.com
O15 - Trusted Zone: http://www.playitalia.com
O15 - Trusted Zone: http://www.realarea.biz
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.sfonditalia.biz
O15 - Trusted Zone: http://www.sgrunt.biz
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.yeak.net
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://C:\nosuch.mht!http://69.31.83.22/ad/0082/x.chm::/loader.exe
O16 - DPF: {30CE93AE-4987-483C-9ABE-F2BD53011170} - ms-its:mhtml:file://C:\foo.mht!http://24-7-search.com/buy//T.CHM::/load.exe
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1127699.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{77491651-8828-4400-8953-C1BC02E91F3C}: NameServer = 194.243.154.62,195.31.190.31
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SpywareCleanerService - Secure Computer, LLC - C:\Program Files\Spyware Cleaner\SCService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe :neutral:
ale69
Newbie
 
Post: 9
Iscritto il: 03/01/06 10:18

Postdi Heba » 04/01/06 13:14

Sono un po' di più di quelli segnalati da te...:roll:

questi sono infetti e da eliminare...

C:\WINNT\SERVICES.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www001.upp.so-net.ne:3128@DF809J ... OW4WJ2304L FD0SF9FSD0A2T4LD.BIZ/search.htm (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www001.upp.so-net.ne:3128@DF809J ... OW4WJ2304L FD0SF9FSD0A2T4LD.BIZ/search.htm (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www001.upp.so-net.ne:3128@DF809J ... OW4WJ2304L FD0SF9FSD0A2T4LD.BIZ/search.htm (obfuscated)

O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINNT\SERVICES.EXE

O15 - Trusted Zone: http://www.archiviosex.net

O15 - Trusted Zone: http://www.redfunny.com

O15 - Trusted Zone: http://www.sgrunt.biz

O15 - Trusted Zone: http://www.skymasters.biz

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://C:\nosuch.mht!http://69.31.83.22/ad/0082/x.chm::/loader.exe

O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1127699.exe

questi invece sono segnati in giallo, ma io li eliminerei perchè mi puzzano di dialer, solo che vedi tu, se li hai inseriti te nei tuoi preferiti o similari...

O15 - Trusted Zone: http://www.linkautomatici.com

O15 - Trusted Zone: http://www.playitalia.com

O15 - Trusted Zone: http://www.realarea.biz

O15 - Trusted Zone: http://www.sfonditalia.biz

O15 - Trusted Zone: http://www.yeak.net
In internet il saper leggere equivale al saper ascoltare nella realtà.
Chi sa ascoltare possiede le chiavi di molte porte.
Heba
Utente Senior
 
Post: 509
Iscritto il: 16/06/05 15:09
Località: Cremona

Postdi Heba » 04/01/06 13:50

scusa è partito per sbaglio, ti aggiungo questi da eliminare

O4 - Global Startup: Ricerca rapida.lnk = C:\Programmi\Microsoft Office\Office\FINDFAST.EXE

O16 - DPF: {30CE93AE-4987-483C-9ABE-F2BD53011170} - ms-its:mhtml:file://C:\foo.mht!http://24-7-search.com/buy//T.CHM::/load.exe


l'ultimo da te segnalato l'O23 è un processo della symantec e non va eliminato.

questi sono inutili, quindi puoi eliminarli...

O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)

O9 - Extra button: ANTIVIRUS - {0B5F1910-F111-11d2-BB9E-00C05F7956B2} - http://www001.upp.so-net.ne:3128@DF809J ... OW4WJ2304L FD0SF9FSD0A2T4LD%2E%42%49%5A/antivirus.html (file missing)

penso sia tutto...
In internet il saper leggere equivale al saper ascoltare nella realtà.
Chi sa ascoltare possiede le chiavi di molte porte.
Heba
Utente Senior
 
Post: 509
Iscritto il: 16/06/05 15:09
Località: Cremona

Postdi Luke57 » 04/01/06 13:56

A corredo di quanto detto da heba, quando hai eseguito le operazioni riposta il log per intero. Non si vede la prima parte relativa al sistema operativo.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi Dylan666 » 04/01/06 14:28

I virus non vanno qui ma nella sezione apposita: sposto
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi ale69 » 04/01/06 16:08

grazie heba, ho eliminato alcuni file ma certi altri ,come vedi non li elimina
e ricompaiono nel log. In particolare :
F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,,C:\WINNT\SERVICES.EXE

posso fare qualcos'altro ? grazie ancora


Logfile of HijackThis v1.99.1
Scan saved at 16.01.38, on 04/01/2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\SERVICES.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\mqsvc.exe
C:\WINNT\System32\RunDll32.exe
C:\Programmi\MemoRex\MemoRex.exe
C:\Programmi\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Program Files\internet explorer\IEXPLORE.EXE
C:\WINNT\SERVICES.EXE
C:\Alessandro\software\SICUREZZA\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www001.upp.so-net.ne:3128@DF809J ... A2T4LD.BIZ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tgcom.mediaset.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,,C:\WINNT\SERVICES.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [MemoREX] "C:\Programmi\MemoRex\MemoRexStart.exe"
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINNT\SERVICES.EXE
O4 - HKCU\..\Run: [Spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: http://www.yeak.net
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6384839390
O17 - HKLM\System\CCS\Services\Tcpip\..\{77491651-8828-4400-8953-C1BC02E91F3C}: NameServer = 194.243.154.62,195.31.190.31
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SpywareCleanerService - Unknown owner - C:\Program Files\Spyware Cleaner\SCService.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
ale69
Newbie
 
Post: 9
Iscritto il: 03/01/06 10:18

Postdi Dylan666 » 04/01/06 19:46

Questo è sicuro?
F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\SERVICES.EXE
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINNT\SERVICES.EXE


Guardane le proprietà. Se non te lo rendono famialiare levalo

Conosci questo sito? A memoria direi che è da spyware:
O15 - Trusted Zone: http://www.yeak.net

Questi sono inutili (voci che portano a file mancanti)
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: SpywareCleanerService - Unknown owner - C:\Program Files\Spyware Cleaner\SCService.exe (file missing)
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 04/01/06 22:56

Dylan666 ha scritto:Questo è sicuro?
F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\SERVICES.EXE
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINNT\SERVICES.EXE


Guardane le proprietà. Se non te lo rendono famialiare levalo
[/i]

E' vero, services.exe in quella directory è un file malevole. Quello di sistema si trova nella directory C\Windows\System32\services.exe o C\WINNT\system32\services.exe da non cancellare assolutamente!
Quello malevolo natualmente va tolto, è la chiave dei problemi ;)
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi ale69 » 05/01/06 10:37

Luke57 ha scritto:
Dylan666 ha scritto:Questo è sicuro?
F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\SERVICES.EXE
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINNT\SERVICES.EXE


Guardane le proprietà. Se non te lo rendono famialiare levalo
[/i]

E' vero, services.exe in quella directory è un file malevole. Quello di sistema si trova nella directory C\Windows\System32\services.exe o C\WINNT\system32\services.exe da non cancellare assolutamente!
Quello malevolo natualmente va tolto, è la chiave dei problemi ;)




in effetti il service.exe sospetto c'è in WINNT (creato da pochi giorni) ma non riesco a eliminarlo nemmeno in modalità provvisoria (risponde che potrebbe essere in uso)
ale69
Newbie
 
Post: 9
Iscritto il: 03/01/06 10:18

Postdi Luke57 » 05/01/06 11:30

Ciao di nuovo, prova con KILLBOX:
http://www.bleepingcomputer.com/files/s ... illBox.zip
- estrailo sul desktop e apri la cartella che lo contiene e quindi avvialo
- Seleziona l'opzione Delete on Reboot, copia nello spazio il percorso esatto del file:
C:\WINNT\SERVICES.EXE
premi il bottoncino rosso con la croce sulla destra
Attento a non inserire il file di sistema services.exe che si trova nella directory C\WINNT\System32\services.exe o C\Windows\System32\services.exe, non va eliminato !!
Prova a vedere se nelle due chiavi di registro seguenti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
si trova la voce
C:\WINNT\SERVICES.EXE, in quel caso eliminala ( click col destro e scegli eliminala).
(prima di agire sul registro fai una copia di sicurezza del registro di sistema :start>esegui>regedit>file>esporta, scegli intervallo di esportazione Tutto, dai un nome al file reg che si forma, lo salvi sul disco fisso. In caso di problemi, basterà cliccare due volte su tale file per ripristinare la situazione esistente prima delle modifiche)
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi ale69 » 05/01/06 15:16

ciao, sono riuscito a eliminare il services.exe da WINNT, ora però ad ogni avvio compare il messaggio

"Impossibile trovare il file C:\WINNT\SERVICES.EXE o uno dei suoi componenti. Verificare che il percorso e il nome del file siano corretti e che tutte le librerie necessarie siano disponibili."

Forse dovrei rimetterlo dov'era(ma è stato creato 20 gg fa quindi non dovrebbe essere indispensabile), magari copiando quello nella cartella system32
ale69
Newbie
 
Post: 9
Iscritto il: 03/01/06 10:18

Postdi Luke57 » 05/01/06 15:17

Ciao, posta un nuovo log di hijackthis
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi ale69 » 05/01/06 15:47

Luke57 ha scritto:Ciao, posta un nuovo log di hijackthis


eccolo, come vedi ci sono ancora i due file F2; li ho eliminati e al riavvio il messaggio non è apparso !! speriamo sia la volta buona. aspetterò qualche ora prima di cantar vittoria. Per adesso grazie, grazie e ancora grazie


Logfile of HijackThis v1.99.1
Scan saved at 15.34.07, on 05/01/2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\explorer.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\mqsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\System32\RunDll32.exe
C:\Programmi\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Alessandro\software\SICUREZZA\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www001.upp.so-net.ne:3128@DF809J ... A2T4LD.BIZ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tgcom.mediaset.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,,C:\WINNT\SERVICES.EXE
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6384839390
O17 - HKLM\System\CCS\Services\Tcpip\..\{77491651-8828-4400-8953-C1BC02E91F3C}: NameServer = 194.243.154.62,195.31.190.31
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SpywareCleanerService - Unknown owner - C:\Program Files\Spyware Cleaner\SCService.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
ale69
Newbie
 
Post: 9
Iscritto il: 03/01/06 10:18

Postdi Luke57 » 05/01/06 16:15

Ciao, nel senso che hai fissato con hijackthis queste due voci?
F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,,C:\WINNT\SERVICES.EXE
Era infatti l'operazione da fare per far sparire il messaggio iniziale della mancanza di SERVICES.EXE.
Fissa ancora queste due voci ( sono riferimenti inutili):
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: SpywareCleanerService - Unknown owner - C:\Program Files\Spyware Cleaner\SCService.exe (file missing).
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi ale69 » 05/01/06 17:11

Luke57 ha scritto:Ciao, nel senso che hai fissato con hijackthis queste due voci?
F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,,C:\WINNT\SERVICES.EXE
Era infatti l'operazione da fare per far sparire il messaggio iniziale della mancanza di SERVICES.EXE.
Fissa ancora queste due voci ( sono riferimenti inutili):
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: SpywareCleanerService - Unknown owner - C:\Program Files\Spyware Cleaner\SCService.exe (file missing).



esattamente! ora fisso anche gli ultimi due da te suggeriti. A occhio mi pare che ci siamo
ale69
Newbie
 
Post: 9
Iscritto il: 03/01/06 10:18

Ho lo stesso problema

Postdi inalliv » 27/01/06 22:02

Ragazzi ho lo stesso problema sareste cosi' gentili da dare una mano pure a me? il log di hijackthis è questo che devo fissare oltre ai due file F2? Grazie mille

Logfile of HijackThis v1.99.1
Scan saved at 21.08.41, on 27/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\mioengine.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ScsiAccess.EXE
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\WINDOWS\SERVICES.EXE
C:\DOCUME~1\VALENT~1\IMPOST~1\Temp\Directory temporanea 1 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unibocconi.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programmi\File comuni\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: My 190.it.lnk = C:\Documents and Settings\valentina\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0E64B286-F91C-442D-8B6D-0D78433AA93D} (BLZPlayerAxCtrl Class) - http://visualizzamms.net.vodafone.it/mm ... tiveXs.cab
O16 - DPF: {3BB4FE3B-7A37-11D3-A41E-0060080C03B3} (Entire Screen Builder Web Viewer) - http://vblu.uni-bocconi.it/vblu/NWWClientFull.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1058584.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
inalliv
Newbie
 
Post: 1
Iscritto il: 27/01/06 21:54

Postdi Luke57 » 28/01/06 09:23

Ciao, metti l’eseguibile (.exe) di hijackthis in una cartella permanente del disco fisso, tipo C\HJT, né temporanea né desktop come hai fatto tu, in modo che il programma possa fare il backup in caso di errori nella rimozione delle voci. Apri il programma , clicchi su “open the misc tools selection” poi su “open process manager”, individui il processo
C:\WINDOWS\SERVICES.EXE
clicchi “kill process
Premi “back”, “scan” , cerchi e metti il segno di spunta alle seguenti voci:
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
4 - Startup: My 190.it.lnk = C:\Documents and Settings\valentina\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1058584.exe
Premi “fix checked”
Riavvii il sistema in
modalità provvisoria
Rendi visibili file e cartelle nascosti (vai in start>impostazioni>pannello di controllo>opzioni cartella, e clicca su "visualizzazione". Seleziona "visualizza file e cartelle nascosti", "visualizza il contenuto delle cartelle di sistema" e deselezionate "nascondi file protetti e di sistema". Clicca su OK., cerchi ed elimini il seguente file:
C:\WINDOWS\SERVICES.EXE ( non ti confondere con il file C:\Windows\system32\services.exe che è legittimo e di sistema)
C:\Documents and Settings\valentina\Dati applicazioni\mioObjects\[objects]\69GWEU9386MTAR08.mio
Cancella poi i file temporanei di windows (temp e tmp), quelli di IE, cookies, svuota il cestino, quelli di IE, cookies, cestino. Su pannello di controllo, installazioni\applicazioni, rimuovi tutti i programmi, se ci sono, non installati da te. Posta poi nuovo log.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "services.exe":


Chi c’è in linea

Visitano il forum: Nessuno e 69 ospiti