processi:igfxsvc.exe, spoolw.exe

[five89]

Ciao a tutti...mi sono accorto che nel task manager di windows ci sono questi processi dannosi:igfxsvc.exe e lo spoolw.exe.
Ho tentato ad eliminarli ma non ci sono riuscito.
Inizialmente ho provato a fixarli in modalità provvisoria con hijackthis, poi ho provato ad inserire uno script con the avanger
(Files to delete: c:\WINDOWs\system32\spoolw.exe e: Files to delete:
c:\WINDOWs\system32\igfxsvc.exe) infine ho provato a disabilitare il ripristino di sistema e eseguire una scansione in modalità provvisoria.
Aiutatemi!!!!

[five89]

Ecco il log di hijackthis:

Codice:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10.40.17, on 18/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\Programmi\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.ex e
C:\Programmi\3\FastMobileModem\MMModem.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\x\Desktop\cancellazione\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = 192.168.0.2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Encarta Web Companion Oggetto helper - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Encarta Web Companion - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P33 "EPSON Stylus C42 Series (Copia 1)" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [E07IXLRD_8171734] "C:\Programmi\Microsoft Encarta\Microsoft Encarta 2007 - Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe
O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: APC UPS Status.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{64B8D88A-4E02-4C11-A33E-241899ABDA97}: NameServer = 62.13.171.1 62.13.171.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Programmi\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\eEBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[oasis90]

DA FIXARE:

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

O4 - HKCU\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe

O4 - HKCU\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe

Proprio non riesci a fixarli??

[five89]

No,non riesco a fixarli.
Come posso fare??

[Tidus Strife]

Prima di fixare le voci che ti ha detto oasis90 disabilita il ripristino configurazione di sistema (tasto destro su risorse del computer, proprietà, scheda rip. conf di sis, checka la spunta, ok.)

e poi ecco una descrizione del malware che ti sei preso: Clicca qui

Infatti non ci sono solo quei 2 file infetti... svuota la cache di explorer, poi scarica avenger cliccando >QUI<

e inserisci questo script:

Files to delete:
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\iexplore_32.exe
C:\WINDOWS\w32dbg.exe
C:\U.exe

Poi controlla nel menu avvio se hai un certo file Imfe.exe e se si, eliminalo o manualmente o aggiungendo il suo percorso in coda allo script di avenger...

[oasis90]

Quote:

Originariamente inviato da five89

No,non riesco a fixarli.
Come posso fare??

non saprei..nel primo messaggio hai detto di aver già fatto tutto il possibile..ed in effetti è vero.. ...

edit: Grande Tidus Strife...sempre presente...

[five89]

Se uso il ripristino delle onfigurazioni non risolvo il problema,vero?

[wizard1993]

perspicace il nostro utente, una volta tanto

[five89]

Quote:

Originariamente inviato da Tidus Strife

Prima di fixare le voci che ti ha detto oasis90 disabilita il ripristino configurazione di sistema (tasto destro su risorse del computer, proprietà, scheda rip. conf di sis, checka la spunta, ok.)

e poi ecco una descrizione del malware che ti sei preso: Clicca qui

Infatti non ci sono solo quei 2 file infetti... svuota la cache di explorer, poi scarica avenger cliccando >QUI<

e inserisci questo script:

Files to delete:
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\iexplore_32.exe
C:\WINDOWS\w32dbg.exe
C:\U.exe

Poi controlla nel menu avvio se hai un certo file Imfe.exe e se si, eliminalo o manualmente o aggiungendo il suo percorso in coda allo script di avenger...

Il problema è che non mi fà fixare le voci:

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

perchè nel file log.txt compaiono,ma nella lista scansione NO,cioè dove selezionare e fare fixa!
Come faccio?
Poi il file Imfe.exe è in un percorso particolare?

[wizard1993]

provato avenger

[five89]

Quote:

Originariamente inviato da Tidus Strife

Prima di fixare le voci che ti ha detto oasis90 disabilita il ripristino configurazione di sistema (tasto destro su risorse del computer, proprietà, scheda rip. conf di sis, checka la spunta, ok.)

e poi ecco una descrizione del malware che ti sei preso: Clicca qui

Infatti non ci sono solo quei 2 file infetti... svuota la cache di explorer, poi scarica avenger cliccando >QUI<

e inserisci questo script:

Files to delete:
C:\WINDOWS\system32\igfxsvc.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\iexplore_32.exe
C:\WINDOWS\w32dbg.exe
C:\U.exe

Poi controlla nel menu avvio se hai un certo file Imfe.exe e se si, eliminalo o manualmente o aggiungendo il suo percorso in coda allo script di avenger...

Il problema è che non mi fà fixare le voci:

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

C:\WINDOWS\system32\spoolw.exe

C:\WINDOWS\system32\igfxsvc.exe

perchè nel figle log.txt compagiono,ma nella lista scansione NO,cioè dove selezionare e fare fixa!
Come faccio?
Poi il file Imfe.exe in un percorso particolare?

[wizard1993]

sei ripetitivo

[five89]

ops ho inviato per sbaglio lo stesso messaggio....scusate!

[lukissimo2000]

Scansionare con VIRIT debitamente aggiornato: rimuoverà alcuni files (spoolw.exe, igfxsvc.exe, w32dbg.exe, iexplore_32.exe ed altri .exe e .dll) infetti da Trojan.Win32.Agent.AXN e Trojan.Win32.Small.LQ ed eventualmente farà riavviare se i files saranno in esecuzione.

Al riavvio il desktop sarà vuoto e potrete usare solo TASK MANAGER (da qui non potrete lanciare nemmeno internet explorer in quanto non funzionante) quindi scegliete FILE > NUOVA OPERAZIONE > (scrivete) regedit (+ INVIO)
andate a cercare ed eliminate queste 2 voci dal registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (che fa riferimento al file c:\windows\w32dbg.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe (che fa riferimento al file C:\windows\iexplore_32.exe)

Chiudete il registro, tornate in TASK MANAGER e scegliete FILE > NUOVA OPERAZIONE > (scrivete) explorer.exe (+ INVIO)

CIAO

[lancetta]

Quote:

Originariamente inviato da lukissimo2000

Scansionare con VIRIT debitamente aggiornato: rimuoverà alcuni files (spoolw.exe, igfxsvc.exe, w32dbg.exe, iexplore_32.exe ed altri .exe e .dll) infetti da Trojan.Win32.Agent.AXN e Trojan.Win32.Small.LQ ed eventualmente farà riavviare se i files saranno in esecuzione.

Al riavvio il desktop sarà vuoto e potrete usare solo TASK MANAGER (da qui non potrete lanciare nemmeno internet explorer in quanto non funzionante) quindi scegliete FILE > NUOVA OPERAZIONE > (scrivete) regedit (+ INVIO)
andate a cercare ed eliminate queste 2 voci dal registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (che fa riferimento al file c:\windows\w32dbg.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe (che fa riferimento al file C:\windows\iexplore_32.exe)

Chiudete il registro, tornate in TASK MANAGER e scegliete FILE > NUOVA OPERAZIONE > (scrivete) explorer.exe (+ INVIO)

CIAO

Quoto tutto con piccola aggiunta: clic con destro su "explorer.exe" seleziona l'opzione "autorizzazioni", seleziona il tuo account e spunta la casella "controllo completo" nella colonna "consenti".
poi clic con destro sulla chiave ("explorer.exe" e successivamente,rifacendo la procedura, l'altra chiave "iexplore.exe") e scegli elimina.

Saluti

[schumyFast]

Ciao..mi intrometto così perkè l'avevo preso ankio..
adesso vi dico com'è realmente (oppure dipende forse io ne avevo anke due cmq adesso vi spiego):
Intanto spoowl.exe e hvja ecc.ecc.(nn mi ricordo e sto scrivendo in modalità avanzata) sn sl 2 applicazioni ma nn sono i virus!!(asp forse qst l'avevate capito)
cmq i veri virus sn 3 e dovrebbero girare in combutta, e sono:
PRIMO: U.exe
SECONDO: w32dgb.exe (mi sembra)
ed infine quelli ke li fà creare!: iexplorer.exe!! (ke sia maledetto!!! )
ATTENZIONE: la i nn mi ricordo se è maiuscola (potrebbe nn mi ricordo+) ma attenti c'è ne un'altra di applicazione con lo stesso nome però tutta maiuscola (IEXPLORER.exe) ke è Internet explorer!!Quel file nn toccatelo!!è polleg!
cmq tornando a iexplorer. exe dovreste sapere prima di continuare ke nei file windows vi è un file ke si chiama appunto explorer.exe (senza i!) ke in pratica è il desktop, infatti quando vi si blocca l'immagine sul monitor se caricate il task manager e chiudete il processo explorer.exe e poi andando su file\nuova operazione e digitate explorer.exe ritornerà a funzionare l'immagine.
DETTO QUESTO cosa succede:
quando venite infettati da iexplorer.exe questo si sostituisce a explorer.exe nella cartella di windows!QUINDI COSA SUCCEDE?
ke voi utilizzerete il desktop attraverso il virus e da qui entrano in gioco
gli altri 2 virus(ke vengono subito creati) e poi i file spoowl.exe quell'altro ecc. ecc. e poi dttk ecc ecc (ke nn mi ricordco neanke questo) .exe
il punto è questo:
le tre applicazioni (spoowl ecc.ecc.!) sono difatto immunizzabili inquanto sygate personal firewall ad esempio le blocca e voi dovete solo ribloccarle ogni volta ke si ricreano, SOLO ke per gli altri virus è un problema inquanto:
siccome questa combo di virus dipende da explorer. exe bisognerebbe eliminare quello(DICENDOLA FACILE!!), inquanto ke kosa fa sto cazzo di virus? ECCO lui ogni volta ke creerete un icona o una cartella o vi connetterete ad internet manderà un segnale a u32dbg.exe ke creerà ste kazzo di applicazioni!!!(spoowl ecc.ecc.!)
allora il problema è sempliceii BATTUTONA!!)
con avg anti virus voi troverete quei virus (con nod32 no ma è meglio così!!!) e li eliminerete come o fatto io il problema dove sta:
se cerkerete di eliminare u32dbg.exe entrerà in funzione U.exe ke manderà un segnale a iexplorer.exe per ricrearlo ma poi mister "U" cazzierà subito antivirus e firewall e sarete fregati fintanto ke non li reinstallerete al volo!
Uno dice bè allora eliminiamo subito iexplorer!?!?(Come ho fatto io! )
Il punto dove sta?? il punto è semplice (altra battutona ): quando l'eliminate, essendo esso il sostituto del file di sistema operativo windows quando l'eliminate (anke insieme agli altri virus tutti assieme) avrete vinto la battaglia certo ma cè un problemino: il desktop non va + perkè non cè + il file!!!
IN CONCLUSIONE potete fare solo due semplici cose:
1_Salvare i file ke vi servono su dvd o su un hardisk esterno (senza paura di passare il virus e lui infatti ha solo qst combo non è un worm ke si riproduce) e poi resettare tutto e bona lè!! (FATERISPARMIERETE UN SACCO DI PROBLEMI!!)
oppure
2_ Cancellare i file con avg o karpreski e poi quando riavviate molto con buona voglia reinstallerete windows sempre nella stessa cartella non cancellando i vostri documenti, poi con buona lena vi metterete li e sposterete le aplicazioni dalle vecchie cartelle alle nuove e mettendo poi apposto tutto il registro di sistema col comando REGEDIT salvandovi così le chiappe..(sempre se siete buoni perkè cmq lo vedo complicatissimissimissimo!!)
A questo punto detto tutto ciò facciamo applausi insieme al fottutissimo creatore di qst virus ke mi ha fatto perdere 460 gb di roba ma ke bisogna ammettere è un XXXXXXXXXX!!
applause applause applause
(dopo please urlategli anke in coro anke XXXXXXXXXx!!!)

[Riverside]

Grazie per la spiegazione ...... ma era necessario riesumare due discussioni definite da mesi?

[juninho85]

ottimo post,fosse stato scritto in italiano sarebbe stato meglio
comunque io ho preso la variante senza quel U.exe...per curiosità,in che cartella si trovava?
altra cosa....il dialcall(nome del virus)creava anche numerosi dialer nella cartella :\Windows che per nome avevano una serie random di 6 cifre...dico,te ne sei accorto vero?

[lamboman]

ciao a tutti mi sono iscritto ora perchè anche io ho questo problema...
tutto è iniziato con il fatto che quando mi connettevo ad internet,dopo un po la linea si disconnetteva da sola,ho cercato in giro nelle cartelle è ho scoperto che la disconnessione è causata da un dialer russo che genera dei file eseguibili con nomi tutti diversi e rigorosamente con caratteri numerici come per esempio:


54443109.exe

58489453.exe

58491656.exe

62511718.exe

4933796.exe

9978578.exe

ho visto che sul task manager ci sono anche spollw.exe e igfxsvc.exe i quali sono praticamente impossibili da levare,sono riuscito a cancellarli un po di volte semplicemente bloccando il processo e spostandolo nel cestino ma poi il processo ricominciava,o provato anche a modificare il file spollw.exe con il blocco note pensando che magari cambiamdo un po di comandi all'interno il file potesse bloccarsi,ma niente...
ho modificato le voci nel registro ma sono ancora alla stesso punto di prima...

[juninho85]

ti sei preso la variante che beccai pure io mesi addietro,se può esserti di conforto.
dunque...quei file con caratteri numerici sono sicuramente sotto la directory c:\windows,mentre spoolw e igfxsvc se non ricordo male eran sotto system32.
dovresti avere anche altri due eseguibili,sempre sotto c:\windows...qualcosa tip w32dbg.exe e iexplorer_32.exe.
in ogni caso posta:
1)log di hijackthis
2)log di gmer,con spunte su system,registry e e files