View Full Version : Strana finestra con messaggio oscuro
(zar)sheva
05-05-2006, 11:16
Ciao a tutti!
Sfrutto provvisoriamente il nick di mio marito per chiedervi una mano ;).
Da stamattina sul mio pc si apre con intervalli irregolari (ogni 10 - 15 - 20 minuti... a caso insomma) una finestra dal titolo SVCHOST (scritto nella barra blu). Il testo della finestra dice: Sorry, Jpeg dll not found. You must reinstall this program.
Tenete presente che è un pc di una rete aziendale, protetto da un antivirus/spam ecc installato sul server centrale e che prima che iniziassero le strane apparizioni della finestra :) in effetti l'antivirus mi aveva segnalato delle "intrusioni" e chiesto di riavviare per eleminarle.
Mi aiutate? :(
Non voglio formattareeeeeeeeeeeeeeeee :muro:
ciao a tutti
Elena
Ciao,
penso si possa tentare di dare una risposta sensata solo vedendo un log di Hijackthis (http://www.majorgeeks.com/download3155.html)
che si tratti di questo:
http://sicurezza.html.it/vulnerabilita/vedi/62/buffer-overrun-nella-componente-gdiplusdll-di-micr/
:mbe:
(zar)sheva
05-05-2006, 13:44
Ciao,
penso si possa tentare di dare una risposta sensata solo vedendo un log di Hijackthis (http://www.majorgeeks.com/download3155.html)
Scaricato il programmino, ma non me lo fa installare :mad:
Mi si apre la finestra della scelta della lingua, una volta selezionata si apre la finestra di installazione per una frazione di secondo e poi sparisce! :confused:
0sc0rpi0n0
05-05-2006, 16:04
Quì virus ci cova , a mio avviso ...
(zar)sheva
05-05-2006, 16:23
Ciao,
penso si possa tentare di dare una risposta sensata solo vedendo un log di Hijackthis (http://www.majorgeeks.com/download3155.html)
Logfile of HijackThis v1.99.1
Scan saved at 16.22.40, on 05/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\Programmi\Symantec AntiVirus\SavRoam.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programmi\File comuni\Microsoft Shared\DAO\svchost.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programmi\ewido anti-malware\ewidoguard.exe
C:\Programmi\ewido anti-malware\ewidoctrl.exe
C:\MXW2000\TaskBuilder.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\MXW2000\TaskBuilder.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\WS15~1.VEG\IMPOST~1\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programmi\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programmi\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [mmtask] "C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [WinService32] svchost
O4 - HKLM\..\Run: [WinLiveUpdate] C:\Programmi\File comuni\Microsoft Shared\DAO\system32_\svchost.exe
O4 - HKLM\..\Run: [Windows LSASS Service] C:\Programmi\File comuni\Microsoft Shared\DAO\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\Launcher.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VEGLASDOMAIN
O17 - HKLM\Software\..\Telephony: DomainName = VEGLASDOMAIN
O17 - HKLM\System\CCS\Services\Tcpip\..\{0343B7BA-FCFA-420F-B429-5F149A9E9408}: NameServer = 10.186.35.2,213.140.2.21
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VEGLASDOMAIN
O17 - HKLM\System\CS1\Services\Tcpip\..\{0343B7BA-FCFA-420F-B429-5F149A9E9408}: NameServer = 10.186.35.2,213.140.2.21
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VEGLASDOMAIN
O17 - HKLM\System\CS2\Services\Tcpip\..\{0343B7BA-FCFA-420F-B429-5F149A9E9408}: NameServer = 10.186.35.2,213.140.2.21
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido anti-malware\ewidoguard.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
Ciao,
sicuramente i tuoi problemi derivano da questo file:
C:\Programmi\File comuni\Microsoft Shared\DAO\svchost.exe
Ti consiglio di localizzarlo e cancellarlo manualmente, possibilmente da modalità provvisoria. Eventualmente, se non si lasciasse cancellare, esistono degli appositi programmini, come ad esempio Killbox.
Devi fixare (selezionare la casellina su Hijackthis e premere "fix" tutti i riferimenti a quel file.
O4 - HKLM\..\Run: [WinService32] svchost
O4 - HKLM\..\Run: [WinLiveUpdate] C:\Programmi\File comuni\Microsoft Shared\DAO\system32_\svchost.exe
O4 - HKLM\..\Run: [Windows LSASS Service] C:\Programmi\File comuni\Microsoft Shared\DAO\svchost.exe
Verifica anche C:\MXW2000\TaskBuilder.exe
Io non lo conosco, forse è un programma gestionale o qualcosa del genere. Nel caso, tutto ok.
Già che ci sei, controlla anche le stringhe denominate "017" se quel dominio e quegli indirizzi IP appartengono al tuo provider o al tuo dominio.
P.S.
cancella tutti i file temporanei e i temp di Internet
(zar)sheva
05-05-2006, 17:29
Ciao,
sicuramente i tuoi problemi derivano da questo file:
C:\Programmi\File comuni\Microsoft Shared\DAO\svchost.exe
Ti consiglio di localizzarlo e cancellarlo manualmente, possibilmente da modalità provvisoria. Eventualmente, se non si lasciasse cancellare, esistono degli appositi programmini, come ad esempio Killbox.
Cancellato!
Devi fixare (selezionare la casellina su Hijackthis e premere "fix" tutti i riferimenti a quel file.
O4 - HKLM\..\Run: [WinService32] svchost
O4 - HKLM\..\Run: [WinLiveUpdate] C:\Programmi\File comuni\Microsoft Shared\DAO\system32_\svchost.exe
O4 - HKLM\..\Run: [Windows LSASS Service] C:\Programmi\File comuni\Microsoft Shared\DAO\svchost.exe
Fatto!
Verifica anche C:\MXW2000\TaskBuilder.exe
Io non lo conosco, forse è un programma gestionale o qualcosa del genere. Nel caso, tutto ok.
Sì, è un programma gestionale, che uso per lavoro.
Già che ci sei, controlla anche le stringhe denominate "017" se quel dominio e quegli indirizzi IP appartengono al tuo provider o al tuo dominio.
Veglasdomain è il nome del server aziendale, quindi direi che sono a posto.
P.S.
cancella tutti i file temporanei e i temp di Internet
Fatto!
E ora rimango in attesa di vedere se il messaggio si ripresenta di nuovo!
Nel frattempo grazie mille!! :D
Elena
(zar)sheva
05-05-2006, 17:34
Ciao a tutti!
Sfrutto provvisoriamente il nick di mio marito per chiedervi una mano ;).
Da stamattina sul mio pc si apre con intervalli irregolari (ogni 10 - 15 - 20 minuti... a caso insomma) una finestra dal titolo SVCHOST (scritto nella barra blu). Il testo della finestra dice: Sorry, Jpeg dll not found. You must reinstall this program.
Tenete presente che è un pc di una rete aziendale, protetto da un antivirus/spam ecc installato sul server centrale e che prima che iniziassero le strane apparizioni della finestra :) in effetti l'antivirus mi aveva segnalato delle "intrusioni" e chiesto di riavviare per eleminarle.
Mi aiutate? :(
Non voglio formattareeeeeeeeeeeeeeeee :muro:
ciao a tutti
Elena
...chi mi ha rubato il nick?
ma e' possibile che ste mogli riescono ad entrare anche dove non dovrebbero!!!!! :incazzed:
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.