Da ieri sera mi compare sempre una finestra di errore per un programma che dice di chiamarsi services.exe e mi chiede se inviare la segnalazione. Uso Avast! come antivirus e Kerio come firewall. Tenendo presente che sono davvero limitate le mie conoscenze in materia informatica, sapreste indicarmi passo per passo cosa devo fare?
vi prego, datemi una mano, sono davvero scarso....

=(

P.S. ho provato a fare una ricerca nel forum con services.exe come parola chiave ma non è venuto fuori nulla. Possibile?

P.P.S. Mi sembra di capire che per avere un quadro chiaro della situazione conviene fare un esame con un programma che si chiama hijackthis, l'ho scaricato e ho eseguito ciò che diceva un breve tutorial, ma ora non so dove mettere le mani, ve lo pubblico, può servire? Spero di non abusare dello spazio concessomi

Logfile of HijackThis v1.99.1
Scan saved at 18.49.46, on 01/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\SERVICES.EXE
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\smax4.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Winamp\winamp.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Standard\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: del.bat
O4 - Global Startup: KVG.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095438282477
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programmi\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmi\AutoCAD 2002\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{E21E3BD9-38EF-4421-BE5B-513A2EA09F5C}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE

Questo non mi piace.Il services.exe normale sta in system32.
Il services.exe che hai tu è un trojan (mi pare un tipo di Sober è un candidato).Probabilmente hai aperto un allegato che ti hanno mandato con la posta...Blocca ogni strana richiesta in uscita dal firewall.

Vai su http://www.pandasoftware.com/products/activescan.htm
e
http://housecall.trendmicro.com/
e fatti uno scan.

Consigli generali.Non aprire email da sconosciuti.Non aprire allegati senza prima passarli da uno scan dell' antivirus.Meglio se hai anche un secondo antivirus on demand (da eseguirlo manualmente ,non in automatico) visto che ci sono più di uno gratuiti.Aggiorna almeno una volta al giorno l' antivirus.Usa Firefox per navigare.

Ciao,

concordo perfettamente con Faethon. Il vero "services.exe" è quello che "abita" in C:\WINDOWS\system32\services.exe

L'altro (C:\WINDOWS\SERVICES.EXE) è un clandestino pertanto va rimosso ;)

Sì, ma come lo rimuovo? avast! non lo vede e le scansioni online non riesco a farle perché panda è bloccato come visrus da Avast! e trendmicro mi manda ad una pagina vuota. Aiuto... mi sento inadeguato....

Avast vede Panda come virus? :doh:

Vai qui:
http://www.free-av.com/

E scarica AntiVir personal (gratis).Durante l' installazione,togliere la spunta dall' opzione "Active Guard".Cioè lo userai on demand,manualmente.Dopo l' installazione,aggiornalo e vedi se lo piglia.Antivir IMHO è il migliore fra i gratuiti in termini di identificazione virus.

Se non funziona,scarica pure Ewido (pure gratis) da qui:
http://www.ewido.net/en/download/

E un antitrojan,e lo puoi usare gratuitamente se lo usi on demand (senza la protezione in tempo reale).Aggiorna e fai lo scan.Però penso AntiVir farà il suo lavoro.

Puoi anche mandare con una mail,il file services.exe zippato ad Avast (non so la loro email per queste cose,ma tutti ne hanno una),con l' indicazione sul titolo "Suspected malware" o simile,così che lo mettono nelle loro definizioni e così lo riconosca Avast stesso.

Ciao,

ho dato una scorsa veloce al tuo log e ho notato varie cosette che non vanno:

C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\SERVICES.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - Global Startup: del.bat
O4 - Global Startup: KVG.exe

Puoi mettere la spunta con hijackthis vicino a queste voci e premere "fix"

... probabilmente c'è anche altro...

Intanto prova a fare una pulizia preliminare con ewido poi posta un'altro log.

Più tardi (dopo cena) ci guardo meglio

Ehm... ewido? Sì, dunque... cerco con google, va
Grazie mille

Ops, mi ero perso il commento di Feathon (grazie Feathon). Chiedo scusa. Nel frattempo ho installato firefox. Ho fatto ciò che dici ma mi sembra non abbia funzionato. Ma nella finestra dove si può cliccare "fix" non compaiono tutte le voci che tu indichi sono riuscito ad individuare solo queste

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\SERVICES.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - Global Startup: del.bat
O4 - Global Startup: KVG.exe

Sbaglio io qualcosa?


aggiornamento:

Ho scaricato anche Ewido, ho eseguito una scansione completa, mi ha segnalato 82 ogetti infetti, ho detto ogni volta di rimuovere e poi ho rifatto il log con Hijackthis. Il risultato è questo:

Logfile of HijackThis v1.99.1
Scan saved at 20.43.04, on 01/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\SERVICES.EXE
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\smax4.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Programmi\Winamp\winamp.exe
C:\Documents and Settings\Standard\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095438282477
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programmi\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmi\AutoCAD 2002\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{E21E3BD9-38EF-4421-BE5B-513A2EA09F5C}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe




=(
Non mi pare sia migliorato molto, anzi...

Ciao,

vedi se riesci a rimuoverlo con questo: http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

Il removal tool non ha individuato nulla.

Se non ti dispiace ti posterei anche l'ultimo log di Ewido

---------------------------------------------------------
ewido anti-malware - Rapporto Scansione
---------------------------------------------------------

+ Creato il: 22.12.39, 01/01/2006
+ Report-Checksum: 1D58114B

+ Risultati scansione:

:mozilla.19:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Mediaplex : Pulito con Backup
:mozilla.45:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Questionmarket : Pulito con Backup
:mozilla.113:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Serving-sys : Pulito con Backup
:mozilla.114:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Serving-sys : Pulito con Backup
:mozilla.115:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Serving-sys : Pulito con Backup
:mozilla.129:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Pulito con Backup
:mozilla.153:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Tradedoubler : Pulito con Backup
:mozilla.186:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Adserver : Pulito con Backup
:mozilla.192:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Serving-sys : Pulito con Backup
:mozilla.193:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Adserver : Pulito con Backup
:mozilla.219:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Itrack : Pulito con Backup
:mozilla.240:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.242:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.246:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.279:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.284:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.296:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.299:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.313:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.330:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.343:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.351:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Burstnet : Pulito con Backup
:mozilla.366:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.384:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.400:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.402:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Esomniture : Pulito con Backup
:mozilla.414:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.Adtech : Pulito con Backup
:mozilla.428:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.2o7 : Pulito con Backup
:mozilla.434:C:\Documents and Settings\Standard\Dati applicazioni\Mozilla\Firefox\Profiles\s0yw16sx.default\cookies.txt -> Spyware.Cookie.2o7 : Pulito con Backup
C:\Documents and Settings\Standard\Impostazioni locali\Temp\backups\backup-20060101-202646-138-KVG.exe -> Backdoor.Small.im : Pulito con Backup
C:\Documents and Settings\Standard\Impostazioni locali\Temporary Internet Files\Content.IE5\NDWWD7RD\advertool[1].exe -> Backdoor.Small.im : Pulito con Backup


::Fine Rapporto

Ciao,

dunque... controllando l'ultimo tuo log di HJT, risulta solo quel "services.exe", per il resto il pc sarebbe pulito. Se il remover per Netsky non individua nulla ti consiglio di procedere a mano, dovrebbe essere semplice ;)

- Svuota completamente le cartelle temporanee
- Svuota i temporanei di Internet
- Svuota il cestino della posta
- Disattiva il ripristino della configurazione del sistema
- Attiva la visualizzazione di file e cartelle nascoste
- Riavvia il computer in modalità provvisoria
- Cancella manualmente il File Services.exe (quello in C:\Windows)
- Lancia nuovamente HJT e fixa i riferimenti a Services.exe (quello in C:/windows

Se non sai fare qualcuna di questi operazioni, batti un colpo

Allora, mi vergogno molto ma devo battere colpo per
- Svuota completamente le cartelle temporanee
- Attiva la visualizzazione di file e cartelle nascoste
- Svuota i temporanei di Internet
e un chiarimento: HJT lo devo avviare in modalità provvisoria?
A lavoro utlimato devo riattivare il ripristino di sistema?

Comunque grazie infinite per la disponibilità

Ciao,

ok, andando per ordine...

apri la cartella dei documenti e vi su strumenti->opzioni cartella->visualizzazione quindi spunta:

- visualizza file e cartelle nascosti
- togli la spunta da "nascondi file protetti e di sistema" (consigliato)
- nascondi le estensioni per i file conosciuti
- metti invece la spunta su "visualizza il contenuto delle cartelle di sistema"

In questo modo vedi tutto

Start->Cerca e scrivi "temp" In questo modo trovi molte cartelle temporanee. Aprile ad una ad una e cancella tutto il contenuto (tranquillamente!)

I temp di internet li trovi da: pannello di controllo->opzioni internet. Elimina cookie ed elimina file

HJT lancialo da provvisoria benchè nel tuo caso sia indifferente
Il ripristino - se ti serve - puoi anche riattivarlo quando hai eliminato services.exe

A dire il vero non l'ho mai usato, non so neanche come si usi. Ora faccio quello che mi hai detto

:)

P.S. Carino firefox, mi sa che lo metto come predefinito

P.S. Carino firefox, mi sa che lo metto come predefinito

Se lo usi come predefinito fai benissimo, è meno "vulnerabile" di Internet Explorer" e ti protegge da parecchie "schifezze" ;)

Allora, non sono riuscito a rimuovere manualmente i file perché non mi pare ci siano più. Tra Ewido, Stinger ed HJT non so chi sia stato, ma qualcosa alla fine dopo un pomeriggio passato a provare lo ha eliminato. Grazie infinite. Ti volevo chiedere le ultime cose:
Io di solito uso Avast! come av, Kerio come fw e Ad-Aware come anti spyware, che faccio, continuo ad usarli? Mi conviene cambiarne qualcuno? Li uso insieme a quelli che mi avete consigliato voi?
Tu posto poi l'ultimo log, mi ci daresti un'occhiata per controllare se ci fosse altro?

Logfile of HijackThis v1.99.1
Scan saved at 0.05.14, on 02/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\smax4.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\Standard\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095438282477
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programmi\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programmi\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programmi\AutoCAD 2002\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{E21E3BD9-38EF-4421-BE5B-513A2EA09F5C}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

Grazie infinite, non so come avrei fatto senza di voi