View Full Version : Task Manager: EXGMI.EXE, EXGMAIL.EXE e altri!
MaRaUdEr!!!
04-04-2007, 09:35
Ciao ragazzi,
innanzitutto complimenti e un grazie a tutti coloro che giorno dopo giorno aiutano noi comuni mortali a risolvere problemi legari a virus, worm, trojan e quant'altro...grazie davvero :)
Passiamo al mio problema...è da un pò di tempo che nel task manager mi trovo dei processi del tipo:
22EXYM50_2.6.EXE
40EXGMAIL50.1.EXE
e altri che hanno come nome EXGMI, EXYP...ogni volta blocco il processo ma questi vengono lanciati di nuovo, ovviamente i numeri prima e dopo l'exe cambiano ogni volta.
Il mio antivirus (Trend office scan) ha identificato dei file nella dir C:\Documents and setting\nome utente\impostazioni locali\temp dei file exe
dannosi...se provo ad entrare in questa dir vedo una sfilza di file.exe e dei file CFG. Ho provato a cancellarli, ma dopo un giorno siamo punto e a capo!
cosa può essere!?
Grazie mille
scarica ccleaner e fagli una passata cancellando tutti i temporanei, se non funziona, fallo da provvisoria.
usa un browser più sicuro tipo opera o firefox.
disattiva il servizio di ripristino configurazione di sistema.
attento a quello che installi, specie se è di dubbia provvenienza.
MaRaUdEr!!!
04-04-2007, 13:46
scarica ccleaner e fagli una passata cancellando tutti i temporanei, se non funziona, fallo da provvisoria.
usa un browser più sicuro tipo opera o firefox.
disattiva il servizio di ripristino configurazione di sistema.
attento a quello che installi, specie se è di dubbia provvenienza.
Intanto grazie per il supporto...
Ho scaricato ccleaner e gli ho fatto fare un giro completo...quando parli di "provvisoria"...intendi in modalità provvisoria!??!
Uso già firefox :)
Come faccio a disattivare il servizio di ripristino? lo stesso problema mi si è posto sia su questa macchina (win2003 server) che su un xp pro...
grazie mille
wizard1993
04-04-2007, 14:18
Intanto grazie per il supporto...
Ho scaricato ccleaner e gli ho fatto fare un giro completo...quando parli di "provvisoria"...intendi in modalità provvisoria!??!
Uso già firefox :)
Come faccio a disattivare il servizio di ripristino? lo stesso problema mi si è posto sia su questa macchina (win2003 server) che su un xp pro...
grazie mille
fai una scan online con il kaspersky e con ewido, poi posta il log di hijackthis;
per disattivare il ripristino
http://www.sicurezzainrete.com/disabilitare_system_restore.htm
MaRaUdEr!!!
04-04-2007, 16:27
fai una scan online con il kaspersky e con ewido, poi posta il log di hijackthis;
per disattivare il ripristino
http://www.sicurezzainrete.com/disabilitare_system_restore.htm
ecco il log di hijackthis...ho passato il kaspersky online e mi ha trovato due spyware...però vedo questi file che si lanciano continuamente (a caso) ogni tot di ore...
Logfile of HijackThis v1.99.1
Scan saved at 17:23:10, on 04/04/2007
Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\cisvc.exe
c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\database\oracle\10.2.0\db_1\bin\nmesrvc.exe
C:\database\oracle\10.2.0\db_1\bin\nmesrvc.exe
C:\database\oracle\10.2.0\db_1\BIN\TNSLSNR.exe
c:\database\oracle\10.2.0\db_1\bin\ORACLE.EXE
c:\database\oracle\10.2.0\db_1\bin\ORACLE.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\database\oracle\10.2.0\db_1\perl\5.8.3\bin\MSWin32-x86-multi-thread\perl.exe
C:\database\oracle\10.2.0\db_1\perl\5.8.3\bin\MSWin32-x86-multi-thread\perl.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Vocollect\VoiceConsole2.2\tools\apache-tomcat-5.5.15\bin\tomcat5.exe
C:\database\oracle\10.2.0\db_1\jdk\bin\java.exe
C:\database\oracle\10.2.0\db_1\jdk\bin\java.exe
c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLPWDNT.EXE
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\QL662.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\OfficeScan Client\Pop3Trap.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\database\oracle\10.2.0\db_1\bin\emagent.exe
C:\database\oracle\10.2.0\db_1\bin\emagent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\prato.f\LOCALS~1\Temp\85exym50rec.0.exe
C:\Documents and Settings\prato.f\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [DLPSP] "c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE"
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferito portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166780720886
O17 - HKLM\System\CCS\Services\Tcpip\..\{733169E1-67AE-4701-9A10-977E14C37199}: NameServer = 192.168.0.254,195.110.128.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Dell Printer Status Watcher (DLPWD) - Dell Inc. - c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLPWDNT.EXE
O23 - Service: Dell Printer Status Database (DLSDB) - Dell Inc. - c:\program files\dell printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OracleDBConsolePICKPRE - Oracle Corporation - C:\database\oracle\10.2.0\db_1\bin\nmesrvc.exe
O23 - Service: OracleDBConsoleVOCOLLECT - Oracle Corporation - C:\database\oracle\10.2.0\db_1\bin\nmesrvc.exe
O23 - Service: OracleDBConsoleWHC0 - Oracle Corporation - C:\database\oracle\10.2.0\db_1\bin\nmesrvc.exe
O23 - Service: OracleOraDb10g_home1TNSListener - Unknown owner - C:\database\oracle\10.2.0\db_1\BIN\TNSLSNR.exe
O23 - Service: OracleServicePICKPRE - Oracle Corporation - c:\database\oracle\10.2.0\db_1\bin\ORACLE.EXE
O23 - Service: OracleServiceVOCOLLECT - Oracle Corporation - c:\database\oracle\10.2.0\db_1\bin\ORACLE.EXE
O23 - Service: OracleServiceWHC0 - Oracle Corporation - c:\database\oracle\10.2.0\db_1\bin\ORACLE.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: VoiceConsole22 - Unknown owner - C:\Program Files\Vocollect\VoiceConsole2.2\tools\apache-tomcat-5.5.15\bin\tomcat5.exe" //RS//VoiceConsole22 (file missing)
wizard1993
04-04-2007, 16:34
fixa
C:\WINDOWS\TEMP\QL662.EXE
04- HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
e pulisci i file temporanei con ccleaner; poi fai una scan on line con bitdefender
MaRaUdEr!!!
05-04-2007, 09:45
fixa
C:\WINDOWS\TEMP\QL662.EXE
04- HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
e pulisci i file temporanei con ccleaner; poi fai una scan on line con bitdefender
sto provando a fare uno scan online con bitdefender ma il tastino I AGREE non va...:mbe: strano però...perchè sto comunque usando IE (con firefox non va...)
cmq ora la situazione sembra migliorata...anche se rimangono questi maledetti EXE!!!
Intanto grazie per il supporto...
Ho scaricato ccleaner e gli ho fatto fare un giro completo...quando parli di "provvisoria"...intendi in modalità provvisoria!??!
Uso già firefox :)
Come faccio a disattivare il servizio di ripristino? lo stesso problema mi si è posto sia su questa macchina (win2003 server) che su un xp pro...
grazie mille
si parlo di modalità provvisoria.
sto provando a fare uno scan online con bitdefender ma il tastino I AGREE non va...:mbe: strano però...perchè sto comunque usando IE (con firefox non va...)
cmq ora la situazione sembra migliorata...anche se rimangono questi maledetti EXE!!!
ma l'hai usato ccleaner?
entra in questa cartella e cancela tutti i file, in particolare questo indicato C:\WINDOWS\TEMP\QL662.EXE
anche questo file devi eliminare C:\DOCUME~1\prato.f\LOCALS~1\Temp\85exym50rec.0.exe, ma se usi ccleaner il gioco è fatto.
david-1984
24-04-2007, 17:37
ciao, ho lo stesso virus sul pc di un mio amico, potresti darmi un occhiata al questo log per vedere cosa c'è che non va?
grazie
Logfile of HijackThis v1.99.1
Scan saved at 18.35.44, on 24/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\D-Link AirPlus\AirPlus.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Toio\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [hrnqowqf] C:\WINDOWS\system32\jvyoitue.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: www.hastalavista.it
O15 - Trusted Zone: www.pornoaccesso.com
O16 - DPF: {16E166F9-35E8-4CA5-B50D-5CEFABF45B09} - http://www.hastalavista.it/dialers/118/AUTO_118N.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programmi\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Bugs Bunny
24-04-2007, 19:06
beh hai un po' di roba... cancella:
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O4 - HKLM\..\Run: [hrnqowqf] C:\WINDOWS\system32\jvyoitue.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O15 - Trusted Zone: www.hastalavista.it
O15 - Trusted Zone: www.pornoaccesso.com
O16 - DPF: {16E166F9-35E8-4CA5-B50D-5CEFABF45B09} - http://www.hastalavista.it/dialers/118/AUTO_118N.exe
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
Bugs Bunny
24-04-2007, 19:07
e ovviamente cancella
C:\WINDOWS\system32\jvyoitue.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\taskdir.exe
(script di the avenger)
Files to delete:
C:\WINDOWS\system32\jvyoitue.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\taskdir.exe
david-1984
24-04-2007, 21:49
e ovviamente cancella
C:\WINDOWS\system32\jvyoitue.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\taskdir.exe
(script di the avenger)
Files to delete:
C:\WINDOWS\system32\jvyoitue.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\taskdir.exe
grazie mille.... ti faccio un ulteriore domanda.
dove posso imparare a leggere questi script?per non dover chiedere ogni volta....
wizard1993
25-04-2007, 08:48
grazie mille.... ti faccio un ulteriore domanda.
dove posso imparare a leggere questi script?per non dover chiedere ogni volta....
è un lavoraccio; comunque se vuoi tutta la documentazione
http://swandog46.geekstogo.com/avengernotes.htm
per chi ha filemaker ed è interessato a non girarsi più di tanto le scatole con avenger, ho elaborato un programma per fare gli script
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.