Ciao ragazzi vi spiego qual'è il mio problema. E' da qualche giorno che all'avvio del PC mi si apre automaticamente la finestra di connessionead internet. Esiste sicuramente un'applicazione (virus, dialer o qualcosa del genere) che mi richiede la connessione ad internet. Ho provato a fare una scansione con NOD32 e effettivamente ha trovato qualche troiaio (e ha detta sua anche eliminato...) ma il problema persiste. Seconda cosa: ho notato che nei processi di sistema la voce SERVICELAYER.EXE può arrivare ad occupare perfino 600.000KB, non vi sembra un po' troppo? E' possibile che i due problemi siano legati?
Grazie

scanna con ewido -> http://www.ewido.net/en/

Ho già provato anche con bitdefender il quale mi ha rilevato e rimosso alcuni trojan.....ma la connessione continua ad apparire ad ogni avvio e il servicelayer a pupparmi molte risorse

Ho già provato anche con bitdefender il quale mi ha rilevato e rimosso alcuni trojan.....ma la connessione continua ad apparire ad ogni avvio e il servicelayer a pupparmi molte risorse

posta un log con hijackthis -> http://www.hijackthis.de/it

Come richiesto.....

Logfile of HijackThis v1.99.1
Scan saved at 12.39.59, on 27/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\VIA\RAID\raid_tool.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\878RMT.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programmi\Microsoft IntelliType Pro\type32.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\HP\hpcoretech\hpcmpmgr.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programmi\CyberLink\PowerCinema\PCMService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\honestech\honestech TVR\scheduleTV.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\Nuova cartella\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tin.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [RaidTool] C:\Programmi\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TV Card Remote Control Applet] C:\WINDOWS\878RMT.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScheduleTV.lnk = C:\Programmi\honestech\honestech TVR\scheduleTV.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B92EA447-CE03-41F9-A731-3946CD937627}: NameServer = 85.37.17.55 85.38.28.93
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programmi\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programmi\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe

Che ne dite?

Come richiesto.....
...

Che ne dite?

hai una scheda tv installata per caso?

Si, è una pixelview

Si, è una pixelview

:what: perchè ci sono queste voci:

C:\WINDOWS\878RMT.exe
O4 - HKLM\..\Run: [TV Card Remote Control Applet] C:\WINDOWS\878RMT.exe

che mi sembrano sospette anche se fa riferimento a una tv card...

io proverei cmq a fixarli magari dopo aver fatto un punto di ripristino (cmq hijackthis fa un backup prima di fixare le voci quindi si dovrebbero poter ripristinare nel caso)

altrimenti prima controlla con l'antivirus aggiornato il file in questione e vedi che succede...

Provo e ti faccio sapere. Grazie per adesso

Provo e ti faccio sapere. Grazie per adesso

di nulla :)

Analizzando il file con NOD32 non riconosce alcun virus.....provo a fixarlo lo stesso? E per quanto riguarda il servicelayer.exe credi sia normale che mi occupi così tante risorse?

Analizzando il file con NOD32 non riconosce alcun virus.....provo a fixarlo lo stesso? E per quanto riguarda il servicelayer.exe credi sia normale che mi occupi così tante risorse?

può essere che sia sfruttato da qualche malware perchè non è normale che ti occupi 600MB...

fai una copia del file zippata per sicurezza e poi fixa le due voci che ti ho messo sopra...

se non era lui c'è il backup...

non pe ficcare il naso, ma la voce è benigna

non pe ficcare il naso, ma la voce è benigna

non è che ficchi il naso anzi mi fa piacere sentire altre opinioni :D
non ho certo la pretesa di sapere tutto :)
infatti gli ho fatto fare un backup manuale oltre a quello automatico di hijackthis proprio nel caso in cui non fosse stata maligna :)

altre opinioni sono beneaccette, e ci mancherebbe ;)

Confermo che il file in questione non è maligno....non riesco proprio a capire quale sia il malware che mi sfrutta così tante risorse....AIUTOOOO :cry:

Confermo che il file in questione non è maligno....non riesco proprio a capire quale sia il malware che mi sfrutta così tante risorse....AIUTOOOO :cry:

posta uno screen di msconfig nella scheda avvio...

(start -> esegui -> msconfig)

Non riesco....il file è troppo grande...:-(

Non riesco....il file è troppo grande...:-(

come è troppo grande?
l'hai salvato come jpeg?

OK, allego in tre post. Questa è la prima...

....la seconda....

e infine la terza....notare una voce strana dove non indica il percorso....

non riesco a leggere bene la quint'ultima voce del terzo screen...
me la scrivi bene per favore?

elemento di avvio: dumprep 0 -k
Comando: %systemroot%\system32\dumprep 0 -k

intanto fai una scansione della cartella windows con l'antivirus aggiornato e vedi se ti rileva qualcosa...

consiglio di farla online dal sito della trend micro -> http://it.trendmicro-europe.com/consumer/housecall/housecall_launch.php

guarda avevo anke io il tuo stesso problema....... il servicelayer è un programma utilizzato da pcsuite nokia l'ho disinstallato x' cmq non me ne faccio nulla ma se a te serve tienilo, è di scuro un trojan che stealthato si impossessa dei programmi in questo kaso servicelayer e li fa lavorare senza che tu te ne accorg..... okkia alla cpu che si surriscalda e può friggersi

guarda avevo anke io il tuo stesso problema....... il servicelayer è un programma utilizzato da pcsuite nokia l'ho disinstallato x' cmq non me ne faccio nulla ma se a te serve tienilo, è di scuro un trojan che stealthato si impossessa dei programmi in questo kaso servicelayer e li fa lavorare senza che tu te ne accorg..... okkia alla cpu che si surriscalda e può friggersi

il punto è capire di quale trojan si tratta :cry:
non riesco a capirlo...

se non sono state già fatte consiglio di fare una scansione completa anche con ad-aware e spybot:

-> http://www.lavasoft.it/
-> http://www.safer-networking.org/it/

ormai sto andando per tentativi :confused:

EDIT: ora devo uscire facci sapere...

Invia il file incriminato per un controllo gratuito:

http://www.virusinformatici.it/

poi clicci su upload malware in alto appena sotto la scritta e invia....

Ciao

Il problema è che non so' qual'è il file incriminato......

Ho visto che di scansioni on-line ne hai già fatte tante ma prova anche questa sul sito della Kaspersky:
http://www.kaspersky.com/virusscanner

Hai ragione Marco, ho fatto molte scansioni ma nessuna è arrivata in fondo. Mi spiego meglio: poco prima che termini la scansione on-line si chiude explorer senza che io faccia niente e quindi non so se effettivamente i virus rilevati sono stati eliminati o meno. Adesso provo anche con quello che mi hai suggerito te.

Aggiungo questa info. Ho notato che nel mio task c'è un processo "IEXPLORE.EXE" di circa 53.000Kb. Non ricordo di averlo mai visto prima d'ora.

Allego il file log di Kaspersky Anti-Virus.

iexplore.exe è un processo d internet explorer che si apre quando apri una pagina internet...... nel tuo kaso poi rimane aperto anke se smetti di nagirare e occupa cmq kb x' è appunto il trojan che te lo utilizza....... cmq se guardi nel thread hij..... c'è un mio post cn questo problema e mi dicevano di scarikare dei programmi e di fixare certe cosucce.... facci un giro è recente il mio post

iexplore.exe è un processo d internet explorer che si apre quando apri una pagina internet...... nel tuo kaso poi rimane aperto anke se smetti di nagirare e occupa cmq kb x' è appunto il trojan che te lo utilizza....... cmq se guardi nel thread hij..... c'è un mio post cn questo problema e mi dicevano di scarikare dei programmi e di fixare certe cosucce.... facci un giro è recente il mio post

Se ti dovessi dire che c'ho capito qualcosa.....bo!!!
Adesso me ne è capitata un'altra bellissima...ho fatto una scansione del sistema con ad-aware e mentre lavorava guardate un po' cosa è apparso...

C:\DOCUME~1\GIANLU~1\IMPOST~1\Temp\AAWTMP\C5477562\FF857\setup.exe Win32/TrojanDownloader.IstBar.NBK cavallo di troia posto in quarantena. - cancellato GIANLUCA\Gian Luca Evento occorso su un nuovo file creato da un'applicazione: C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe. :eek: Il file è stato inserito nella quarantena. Puoi chiudere questa finestra.

non mi sembra di essere stato confusionario nello scrivere..... il succo del diskorso è FORMAT C :p

Ti si apre ancora la connessione internet all'avvio del pc dopo quest'ultima scansione con Ad-Aware SE Personal, o tutto è tornato ok?

Ho letto in un forum che il processo che mi occupava memoria era legato all'utilizzo di nokia pc suite. Ho disinstallato il programma e adesso la connessione internet all'vvio del pc non appare più e il processo non occupa più la quantità di memoria precedente. Ma credo di non aver eliminato del tutto il trojan poichè, dopo aver installato virit (e con lui virit lite monitor) tutte le volte che avvio il pc mi compare un avviso di virit lite monitor che mi avverte della presenza di alcune applicazioni in esecuzione automatica sospette (in maniera random segnala COM5.EXE, MZZNI.EXE o ORJ.EXE).