PDA

View Full Version : Voci incancellabili in HiJackThis, possibile?

Abbiatepazienza
27-01-2006, 23:02
Salve a tutti. Non riesco ad eliminare le due voci che trovo nel log di HiJackThis, ho provato anche manualmente ma al percorso indicato non c'è nulla. Ho disinstallato AVG e quindi quei files non hanno ragione di esistere. Mi aiutate?

Le due voci indicate da HJT le riporto in arancione:

Logfile of HijackThis v1.99.1
Scan saved at 22.48.50, on 27/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\smax4.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\PeerGuardian2\pg2.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
c:\progra~1\fileco~1\instal~1\update~1\isuspm.exe
C:\Programmi\File comuni\InstallShield\UpdateService\agent.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\FireTrust\MailWasher Pro\MailWasher.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOCUME~1\Standard\IMPOST~1\Temp\ARC3A12\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe
O4 - Startup: MailWasherPro.lnk = C:\Programmi\FireTrust\MailWasher Pro\MailWasher.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E21E3BD9-38EF-4421-BE5B-513A2EA09F5C}: NameServer = 213.205.32.70,213.205.36.70
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
andorra24
27-01-2006, 23:15
Fixa:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)

Se il fix non ti riesce in modalita' normale allora riprova in modalita' provvisoria.
Abbiatepazienza
27-01-2006, 23:52
Ok, provo
Abbiatepazienza
28-01-2006, 01:35
Niente da fare, sembrano irremovibili. Mi chiedo come mai HJT indichi un percorso che in realtà non esiste. Altre idee?
andorra24
28-01-2006, 07:01
Niente da fare, sembrano irremovibili. Mi chiedo come mai HJT indichi un percorso che in realtà non esiste. Altre idee?
Quelle voci di file missing indicano files mancanti ma non costituiscono un problema o un pericolo. La voce davvero importante che devi fixare e' questa:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
tidav
28-01-2006, 08:46
Niente da fare, sembrano irremovibili. Mi chiedo come mai HJT indichi un percorso che in realtà non esiste. Altre idee?


Hai pulito il registro dai riferimenti relativi ai 2 files in questione (avgupsvc.exe ; avgamsvr.exe ) ?

Ciao
Abbiatepazienza
28-01-2006, 11:33
Ehm... non saprei dove mettere le mani, in effetti. Mi diresti come fare a ripulire il registro?

Per quel che riguarda services.exe, avevo già avuto problemi con lui e pensavo di averlo debellato. Mi chiedo come mai sia ricmparso...
andorra24
28-01-2006, 11:40
Ehm... non saprei dove mettere le mani, in effetti. Mi diresti come fare a ripulire il registro?

Per quel che riguarda services.exe, avevo già avuto problemi con lui e pensavo di averlo debellato. Mi chiedo come mai sia ricmparso...
Per dare una pulitina al registro puoi usare ad esempio CCleaner ma usalo con cautela:http://www.ccleaner.com/
e mi raccomando di fixare quella voce F2
mister pink
28-01-2006, 12:55
Accidenti, un'altro poveraccio che si è beccato questa schifezza.

Non so se può essere utile, ma io ripropongo di seguito il testo del mio primo post che ho inserito in un altro thread (un po in ritardo, per la verità...) alcuni giorni fa.


"... poco meno di un mese fa, ho dovuto rimuovere da uno dei computer aziendali un schifezza che sembra molto ma molto simile a quella descritta in questo thread.

Non chiedetemi il nome del virus, perché ho dovuto rimuoverlo manualmente ed è stata anche una faticaccia... Il Norton AV 2004 (perfettamente aggiornato) era stato "fatto fuori" con facilità disarmante, anche perché praticamente non lo "vedeva" (parecchie cose non vede 'sto Norton, anche nella versione 2005... ).

E' bene precisare che l'eseguibile "services.exe" è un file di sistema che risiede
in windows\system32. In qualsiasi altro caso (inteso come diversa collocazione, per esempio direttamente dentro c:\windows) trattasi, quasi sicuramente, di virus. Il task originale di sistema, inoltre, non deve comparire nell'elenco dei task in esecuzione automatica visualizzati attraverso msconfig. Se vi compare, è un virus.

Il virus in questione, tuttavia, installa non uno ma due diversi eseguibili, il primo è il già citato "services.exe", l'altro, il più carogna, può avere diversi nomi (non ricordo qual'era quello che aveva assunto sul computer che ho sistemato) e si occupa essenzialmente di ripristinare le chiavi di registro che garantiscono l'avvio automatico del primo eseguibile alla partenza di windows.

Se non si individua e non si disabilita anche l'altro eseguibile, ogni tentativo di ripulire il registro è inutile e viene puntualmente frustrato.

Preciso altresì che questa maledetta schifezza non si limita ad inserire le solite chiavi di registro in: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, ecc.., ma modifica anche alcune altre chiavi correlate alle procedure di avvio di windows .

Ricordo che, sul computer infetto, "services.exe" non poteva essere terminato neanche attraverso il taskmanager e veniva caricato persino in modalità provvisoria.

Alla fine, sono riuscito ad evitare che partisse ed il risultato era quel messaggio di errore all'avvio descritto nel precedente post . Per poter risolvere anche 'sto guaio bisogna editare una chiave di registro (che non
ricordo dove si trova di preciso, ma ha attinenza con le procedure di avvio del SO) in cui il nome dell'eseguibile viene affiancato a quello dell'explorer di windows.
IMPORTANTE: la chiave in questione va modificata con estrema attenzione e non cancellata, altrimenti il SO non parte più."

Spero possa essere di qualche utilità: 'sto virus è proprio una brutta bestia.
Sul computer che ho ripulito generava un traffico mostruso aprendo una sessantina di connessioni verso server remoti dai nomi abbastanza inquietanti...

In bocca al lupo.
tidav
28-01-2006, 14:59
Ehm... non saprei dove mettere le mani, in effetti. Mi diresti come fare a ripulire il registro?

Per quel che riguarda services.exe, avevo già avuto problemi con lui e pensavo di averlo debellato. Mi chiedo come mai sia ricmparso...


Regseeker non ce l'hai ? Scarica regseeker e inserisci come chiave di ricerca avgupsvc.exe e tutte le chiavi di registro che ti trova con esattamente quel riferimento le elimini. Per eliminarle tasto dx e scegli delete selected items.
Poi rifai lo stesso procedimento con chiave di ricerca avgamsvr.exe .

Quindi rifai la scansione con hijackthis e controlla se risultano ancora.

ciao
tidav
28-01-2006, 15:01
Link regseeker 1.45 : http://www.hoverdesk.net/freeware.htm
Abbiatepazienza
28-01-2006, 16:33
x Adorra24: CCleaner lo ho e l'ho già usato, ma non ha funzionato. Forse ho sbagliato qualcosa, era la prima volta che lo usavo

x Tidav: Scaricato regseeker, ricercate le voci indicate, selezionate, Tasto destro>Elimina valori selezionati,rieseguita scansione con HJT... ma le infami sono sempre lì che mi guardano e ridono. Comunque il programma sembra carino e ben fatto, grazie della segnalazione (anche se in effetti devo stare attento perché ne capisco poco)

x Mistr Pink: guarda, io usando HJT, Ewido, Stinger, Avast!, AdAware sono riuscito (non so come) a debellarlo. Del file che dici tu, quello con un altro nome, non ne so nulla. Mi pare che l'attività sospetta sia scomparsa, o almeno la schermata di errore che mi compariva e che mi ha fatto accorgere della presenza del bastardissimo, non compare più.TI linko la discussione che mi ha aiutato, se mi fornisci ulteriori informazioni sono più tranquillo services.exe (http://www.hwupgrade.it/forum/showthread.php?t=1100086)

P.S. a dire il vero ho ricontrollato il log che postai nel topic indicato e credo di aver dimenticato di fixare la voce che risultava relativa a services.exe, quindi non è ricomparsa, era semplicemente rimasta lì. Ora comunque è scomparsa
mister pink
28-01-2006, 17:28
Leggendo un po' di cosette in giro su internet ho potuto constatare che ci sono diversi virus e trojan che installano un eseguibile dal nome "services.exe".

Va detto però che non tutti sono ostici e rognosi come quello di cui stiamo parlando: anch'io non ricordo bene come ho fatto a rimuoverlo (ho smanettato nel registro con regedit, ho utilizzato hijackthis ed almeno un paio di antivirus, ecc...). Alla fine ho dovuto cancellare tutto a mano e poi, per sicurezza, ho anche formattato l'HD e reinstallato windows.

Quello che posso dirti è che se il task "services.exe" non ricompare e se non si manifestano messaggi di errore all'avvio di windows, molto probabilmente qualcuno dei programmi che hai usato è riuscito a rimuoverlo.

Del resto io c'ho avuto a che fare con 'sta schifezza più di 20 giorni fa, per cui può darsi che nel frattempo i database dei vari software siano stati aggiornati con le istruzioni per rimuoverla.
tidav
28-01-2006, 19:21
x Tidav: Scaricato regseeker, ricercate le voci indicate, selezionate, Tasto destro>Elimina valori selezionati,rieseguita scansione con HJT... ma le infami sono sempre lì che mi guardano e ridono. Comunque il programma sembra carino e ben fatto, grazie della segnalazione (anche se in effetti devo stare attento perché ne capisco poco)



Fai questo ulteriore controllo.
riavvia il pc e tramite regseeker ricontrolla che le chiavi inerenti quelle 2 chiavi di ricerca non si siano riformate. Se si sono riformate occorre eliminarle tramite regedit agendo sulle autorizzazioni.
Inoltre controlla che non vi siano altre chiavi riferibili all'antivirus AVG.
Segna come chiave di ricerca AVG e vedi se ti spunta fuori qualche chiave riferibile chiaramente all'antivirus AVG.
Poi sempre in regseeker metti la spunta su search files e inserisci come chiave di ricerca quelle 2 che non riesci ad eliminare e poi anche come chiave di ricerca AVG per vedere se c'è qualche file riferibile all'antivirus e non ancora cancellato.


Se tutto (registro di sistema e hard disk) è pulito per bene le 2 voci non devono essere visualizzate da hijackthis.

Ciao
Dagon
29-01-2006, 11:45
Ragazzi, mi sa che mi sono beccato la stessa immondizia.
Questo è il risultato del check di HiJackThis.

Logfile of HijackThis v1.99.1
Scan saved at 11.34.08, on 29/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\SERVICES.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\RegSeeker\RegSeeker.exe
C:\Documents and Settings\Dagon\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\dapbho.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by103fd.bay103.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FE7B892-3C9C-419B-A17D-7B2417A38E8F}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Non riesco anch'io a togliere da task manager le due voci services.exe.
Ho provato a fare un search su services.exe e ho trovato 2 files. Uno in system 32 che credo sia un file di sistema e l'altro in ServicePackFiles che ho cancellato. Ma niente. Ho fatto diversi scan con avast e ad-aware, ma niente. Con HiJackThis la voce su indicata come rognosa (F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE ) non riesco a cancellarla. Credo che la ricerca delle chiavi di registro riferibili ad avg con me non funziona (in effetti ci ho provato).

Cosa faccio?
Il problema è che in questo momento non posso proprio formattare...
andorra24
29-01-2006, 11:57
Fixa:
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\SERVICES.EXE
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/c...DC_2.1.0.69.cab (se non la conosci fixala)
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)

Se il fix non ti riesce in modalita' normale riprova in modalita' provvisoria dopo aver disattivato il ripristino di sistema.
Ho visto che hai DAP. Ti ricordo che contiene spyware.
Dagon
29-01-2006, 12:01
Fixa:
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\SERVICES.EXE
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/c...DC_2.1.0.69.cab (se non la conosci fixala)
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)

Se il fix non ti riesce in modalita' normale riprova in modalita' provvisoria dopo aver disattivato il ripristino di sistema.
Ho visto che hai DAP. Ti ricordo che contiene spyware.

Provo subito

Thanks :)

p.s. mi consigli di non usare dap?
andorra24
29-01-2006, 12:11
Provo subito

Thanks :)

p.s. mi consigli di non usare dap?
DAP non e' il massimo in fatto di pulizia. Magari sostituiscilo con un prodotto simile.
Dagon
29-01-2006, 12:25
Fixa:
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\SERVICES.EXE


Come faccio a fixare queste voci?
Le altre le ho fixate, ma non è successo niente.
andorra24
29-01-2006, 12:32
Come faccio a fixare queste voci?
Le altre le ho fixate, ma non è successo niente.
Hai provato a fare il fix in modalita' provvisoria con ripristino disattivato? Se non ci sei riuscito allora cerca di eliminare questo services.exe con killbox:
http://www.bleepingcomputer.com/files/killbox.php
oppure con unlocker:http://news.swzone.it/swznews-16993.php
tidav
29-01-2006, 13:18
...

p.s. mi consigli di non usare dap?


Prova magari ad installare anche download express. E' un buon programma e non ha spyware.


Ciao
Dagon
29-01-2006, 17:20
Ho risolto tutto.

Grazie Andorra24 :)

Ciao
andorra24
29-01-2006, 17:51
Ho risolto tutto.

Grazie Andorra24 :)

Ciao
Molto bene. ;)