Condividi:        

AIUTATEMI

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

AIUTATEMI

Postdi ciube » 08/06/06 17:58

Il mio programma antivir mi segnala che c:\windows\service.dll è affetto da trojan TR/Agent.Hook.A. Purtroppo mi suggerisce di ignorare, cancellare, mettere in quarantena ma non riesce a fare nessuna di queste operazioni. Potete consigliarmi qualche rimedio ? Grazie.
Allego l'analisi

Logfile of HijackThis v1.99.1
Scan saved at 18.46.08, on 09/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Program Files\E-Color\True Internet Color\TICIcon.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Antonio\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
O1 - Hosts: <HTML><HEAD>
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts: </HEAD><BODY>
O1 - Hosts: <H1>Not Found</H1>
O1 - Hosts: The requested URL /ad/hosts was not found on this server.<P>
O1 - Hosts: </BODY></HTML>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [oeuai] C:\Documents and Settings\Antonio\Dati applicazioni\tofareraci\systvmrs.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: True Internet Color Icon.lnk = C:\Program Files\E-Color\True Internet Color\TICIcon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

Il PROBLEMA E CON L' F2 QUANDO LO FIXXO SI RIGENERA AUTOMATICAMENTE. SOLO VOI POTETE SALVARMI STO SCLERANDO.
ciube
Utente Junior
 
Post: 26
Iscritto il: 08/06/06 17:50

Sponsor
 

Postdi andorra24 » 08/06/06 18:18

Fixa queste voci:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
O1 - Hosts: <HTML><HEAD>
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts: </HEAD><BODY>
O1 - Hosts: <H1>Not Found</H1>
O1 - Hosts: The requested URL /ad/hosts was not found on this server.<P>
O1 - Hosts: </BODY></HTML>
O4 - HKLM\..\Run: [oeuai] C:\Documents and Settings\Antonio\Dati applicazioni\tofareraci\systvmrs.exe

Vai in C:\WINDOWS ed elimina SERVICES.EXE con killbox:
http://www.bleepingcomputer.com/files/killbox.php
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi ciube » 08/06/06 18:28

GRAZIE MILLE. PER L' F2 SEGUO QUESTO TOPIC?
http://www.pc-facile.com/forum/viewtopic.php?t=46320
ciube
Utente Junior
 
Post: 26
Iscritto il: 08/06/06 17:50

Postdi Luke57 » 08/06/06 18:32

Ciao, segui le indicazioni di Andorra24, ma per prima cosa utilizza Killbox
(Inserisci il seguente percorso completo senza parentesi in Full Path:
C:\WINDOWS\SERVICES.EXE---- > questo è l’unico percorso con services.exe da inserire
poi seleziona DELETE ON REBOOT
e clicca sulla X rotonda a destra con la croce rossa ( il computer si riavvierà)
Al riavvio esegui le operazioni suggerite con hijackthis.
Elimina poi anche la cartella:
C:\Documents and Settings\Antonio\Dati applicazioni\tofareraci, avendo cura di svuotare il cestino.
Se l’eliminazione della voce F2 con hijackthis non avrà buon fine, segui questa procedura utilizzando il registro di sistema:
Da START/ESEGUI >regedit (lo copi nello spazio)>OK
Portati alla seguente chiave, ciccando sui + accanto alle singole voci:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Doppio click sulla cartella Winlogo. ndividui nella finestra di destra
USERINIT
Doppio click su di essa, ti appare la finestra Modifica stringa
E nello spazio bianco l’intera voce seguente selezionata:
C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
Tu avrai cura di modificare la selezione, selezionando solo
,C:\WINDOWS\SERVICES.EXE
(virgola compresa)
E di cancellarla con canc>poi OK e chiudere il registro
Estrema cautela nel cancellare solo la voce evidenziata, perché se cancelli Userinit il computer non sarà in grado di riavviarsi.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi ciube » 08/06/06 18:41

LUKE 57 HO LETTO NELL'ALTRO TOPIC CHE SUGGERIVI UN SOLUZIONE DIVERSO QUALE DEVO SEGUIRE?
QUESTO E' IL TOPIC
http://www.pc-facile.com/forum/viewtopic.php?t=46320
ciube
Utente Junior
 
Post: 26
Iscritto il: 08/06/06 17:50

Postdi Luke57 » 08/06/06 18:49

Ciao, utilizza killbox e hijackthis per prima cosa. Nel topic linkato era quello il suggerimento da attuare, utilizzando anche la modalità provvisoria.
La procedura descritta nel tuo caso ( attraverso il registro di sistema) è da usare se non riesci a cancellare la voce F2 con hijackthis ( come mi pare avevi già cercato di fare, senza però cercare di eliminare SERVICES.exe )
Ricordati che quello nocivo si trova in C:\Windows e quello legittimo in
C:\Windows\System32.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10


Torna a Sicurezza e Privacy


Topic correlati a "AIUTATEMI":


Chi c’è in linea

Visitano il forum: Nessuno e 67 ospiti