Condividi:        

svchost.exe

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

svchost.exe

Postdi mbura » 24/11/06 12:35

Credo di avere un virus. Si chiama svchost.exe credo. In C:\windows.
Come si può fare ad eliminarlo visto che l'antivirus non lo elimina?
GRAzie!
mbura
Utente Junior
 
Post: 11
Iscritto il: 10/11/06 10:40

Sponsor
 

Postdi andorra24 » 24/11/06 13:33

Ciao, elimina il virus con killbox:
http://www.killbox.net/downloads/KillBox.exe
Estrai l'eseguibile sul desktop
Apri KillBox
inserisci all'interno della stringa bianca il percorso del file da eliminare,
metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso.

Dovresti fare un ulteriore controllo. Visualizza cartelle e file nascosti (vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema'') e controlla se hai nel pc il seguente file:
C:\WINDOWS\service32.exe
Fammi sapere.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi mbura » 24/11/06 15:41

Mi hanno detto che è rischioso eliminare questo file perchè ce n'è uno uguale di sistema che è molto importante. Però quest'ultimo dovrebbe trovarsi in C:\windows\system32 mentre il mio si trova in c:\windows.
Corretto? Procedo con la eliminazione? scusa ma ho un pò di timore, non sono esperto e ho paura di perdere dati.

Per la seconda questione ho fatto il controllo: non ho il file service32.
E' un bene o un male?

Grazie mille!!!!
mbura
Utente Junior
 
Post: 11
Iscritto il: 10/11/06 10:40

Postdi andorra24 » 24/11/06 16:03

Se il file svchost.exe che ti infastidisce si trova in c:\windows puoi eliminarlo tranquillamente perche' e' un malware.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi mbura » 24/11/06 18:01

Grazie mille,
ho eliminato il file.
Il computer però è ancora troppo lento, non riesco a capire cosa può essere.
mbura
Utente Junior
 
Post: 11
Iscritto il: 10/11/06 10:40

Postdi andorra24 » 24/11/06 18:41

Puo' darsi che tu abbia altre infezioni. Prova a postare un log di hijackthis.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi mbura » 27/11/06 10:14

Ti invio il log di hijackthis.

Grazie mille in anticipo!

Logfile of HijackThis v1.99.1
Scan saved at 9.58.52, on 27/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\iss\blackd.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\iPass\iPassConnect\iPCAgent.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\RSA Security\RSA Keon Desktop\system\sdlss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\drivers\trcboot.exe
C:\Program Files\Tally Systems Corp\TSCensus\bin\CClientSvc.exe
C:\Program Files\Tally Systems Corp\TSCensus\bin\CClient.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
C:\Program Files\Personal Communications\PCS_AGNT.EXE
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iPass\iPassConnect\downloader\ipccheck.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\Program Files\RSA Security\RSA Keon Desktop\System\SDTray.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Apoint\Apntex.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Documents and Settings\mburagli\Start Menu\Programs\Startup\nrvemvx.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\MICROS~3\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\System32\WISPTIS.EXE
D:\Documenti\Marco Buraglio\avirus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ford.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fordmate.rome.ford.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.FordMate.rome.ford.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://browsers.ford.com/coe/browsers/i ... figmgr.ins
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {EE5374B8-2016-9980-E48C-1545E8A9055A} - C:\WINDOWS\kyuyl1.dll (file missing)
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [RSA SDTray] "C:\Program Files\RSA Security\RSA Keon Desktop\\System\SDTray.exe"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - Startup: nrvemvx.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.FordMate.rome.ford.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = rome.ford.com
O17 - HKLM\Software\..\Telephony: DomainName = rome.ford.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = rome.ford.com
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: BlackICE - Internet Security Systems, Inc. - c:\program files\iss\blackd.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Hummingbird Inetd (HCLInetd) - Hummingbird Ltd. - C:\WINDOWS\System32\Hummingbird\Connectivity\7.11\Inetd\inetd32.exe
O23 - Service: iPassConnectEngine - iPass - C:\Program Files\iPass\iPassConnect\iPassConnectEngine.exe
O23 - Service: iPCAgent - iPass, Inc. - C:\Program Files\iPass\iPassConnect\iPCAgent.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Oracle9iR1CLIClientCache - Unknown owner - c:\progra~1\oracle9i\BIN\ONRSD.EXE
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RapApp - Internet Security Systems, Inc. - c:\program files\iss\RapApp.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Desktop Security Server (SDLss) - RSA Security Inc. - C:\Program Files\RSA Security\RSA Keon Desktop\\system\sdlss.exe
O23 - Service: TrcBoot - Unknown owner - C:\WINDOWS\System32\drivers\trcboot.exe
O23 - Service: TSCensus Collection Client - Tally Systems Corp. - C:\Program Files\Tally Systems Corp\TSCensus\bin\CClientSvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
mbura
Utente Junior
 
Post: 11
Iscritto il: 10/11/06 10:40

Postdi andorra24 » 27/11/06 10:51

Hai un sacco di infezioni purtroppo tra cui il linkoptimizer.

Prova qui con questi due tools:
http://www.mytempdir.com/1035021

Lancia per primo il file contrassegnato dal numero "1" , che si riferisce al tool della prevx
(disattiva l'antivirus durante la scansione. Il programma fa riavviare il computer e al riavvio termina la scansione. Rilascia un report che trovi in C:\Gromzon_Removal.log)
Dopo esegui il file contrassegnato dal numero "2" (symantec)
lo scan di questo tool va eseguito dalla modalità provvisoria
Anch’esso rilascia un report nella stessa cartella dove hai sistemato il file (FixLinkopt.log).

Incolla in un post ambedue i report.

Per quanto riguarda hijackthis fai cosi: apri hijackthis. premi su ''open the misc tools section'', poi premi ''open process manager'', individua la voce indicata sotto e premi ''kill process'':
C:\Documents and Settings\mburagli\Start Menu\Programs\Startup\nrvemvx.exe

Poi vai in basso e premi il tasto back e subito dopo il tasto scan. Metti la spunta nella casellina accanto alle voci indicate sotto e premi ''fix checked'':
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\svchost.exe
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {EE5374B8-2016-9980-E48C-1545E8A9055A} - C:\WINDOWS\kyuyl1.dll (file missing)
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - Startup: nrvemvx.exe
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di
sistema (consigliato)''.

Scarica KillBox
http://www.killbox.net/downloads/KillBox.exe
con killbox elimina i seguenti files:
C:\WINDOWS\System32\taskdir.exe
C:\WINDOWS\svchost.exe
C:\Windows\xpupdate.exe
C:\Documents and Settings\mburagli\Start Menu\Programs\Startup\nrvemvx.exe
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi wittelsbach » 30/11/06 12:04

Io ho un problema collegato: in pratica si è creato un file chiamato sti.log che secondo il programma UNLOCKER avrebbe origine da System32/svchost.
La stranezza è che il file sti.log mi appare in C: (disco dati), mentre la sua origine, ovvero, System32 è nel disco E: (quello con winXP).
Ma è normale?
Ho pravato ad eliminare sti.log ma al riavvio ricompare.
Un aiuto?
wittelsbach
Utente Senior
 
Post: 249
Iscritto il: 17/09/05 08:55


Torna a Sicurezza e Privacy


Topic correlati a "svchost.exe":

svchost.exe
Autore: fili1973
Forum: Software Windows
Risposte: 3

Chi c’è in linea

Visitano il forum: Nessuno e 117 ospiti