ciao a tutti , ho un processo (msdrv.exe) che non riesco a capire da cosa derivi e che mi impalla il pc impiegandomi un sacco di cpu.
ho cercato su google ma per win xp non ho trovato nessuna info utile !! sapete d cosa si tratta?
grazie ciao

ciao,

uhm... non è un normale processo di win xp...
Io lo arresterei e cancellerei l'eseguibile. Dov'è? In system32?

Per capire meglio dovrei vedere il log di hijackthis. Prova a fare una scansione antivirus on line con questo (http://it.trendmicro-europe.com/consumer/products/housecall_it.php)

Ho fatto una ricerca veloce ed ho trovato che potresti essere infetto dal backdoor Asylum.
QUESTA (http://securityresponse.symantec.com/avcenter/venc/data/backdoor.asylum.html) pagina contiene tutti i dati e le istruzioni di rimozione. Non c'è però alcun riferimento al tuo processo.
Il mio consiglio è di darci comunque un'occhiata, così ti togli il dubbio.

Fammi sapere

Ciao

tnx pe rle risposte, ma come vedoo quali file aprono i vari processi?

allora il processo è msdrv.exe ed è in system32/msdrv.exe
cancello?

Ciao,

se vogliamo fare una cosa + sicura, fammi vedere il log di hijackthis, comunque secondo me quel processo si deve cancellare

Originariamente inviato da wgator
Ciao,

se vogliamo fare una cosa + sicura, fammi vedere il log di hijackthis, comunque secondo me quel processo si deve cancellare

hijackthis????
scusami ma per me parli arabo!

Originariamente inviato da emipao
tnx pe rle risposte, ma come vedoo quali file aprono i vari processi?

process explorer: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Originariamente inviato da wgator
process explorer: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

grazie ma ho scaricato startup inspector e guardato esegui msconfig...

ora mi butto a capire cosa sia hijackthis!

Ciao,

per hijackthis, prova a leggere qui (in ITA): http://www.tweakness.net/index.php?link=articoli/a7.php

Logfile of HijackThis v1.98.2
Scan saved at 13.00.05, on 23/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\svchelper.exe
C:\WINDOWS\system32\msdrv.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\HMSystem.com
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Emi&Ale\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/home/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programmi\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programmi\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SYSTEM service helper] C:\WINDOWS\system32\svchelper.exe
O4 - HKLM\..\Run: [MSysDrv] C:\WINDOWS\system32\msdrv.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HMSystem] C:\WINDOWS\system32\HMStart.com
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programmi\File comuni\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {22945A69-1191-4DCF-9E6F-409BDE94D101} (EModelNonVersionSpecificViewControl Class) - http://www.solidworks.com/plugins/edrawings/download.cfm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81C930AC-B93A-4F73-A5A0-60AF33F8BFED}: NameServer = 217.141.255.204 151.99.125.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8841707-924B-42CD-930F-9384B764C66B}: NameServer = 192.168.0.1

mi mandi il file a [email protected]? ;)

averlo postato è lo stesso?

no, sul forum non lo puoi postare.

allora cancello il post?
te lo mando subito!

Originariamente inviato da emipao
averlo postato è lo stesso?

Ciao,

Eraser ti chiedeva se puoi spedirgli il file msdrv.exe

Il log lo sto controllando. Dopo ti dico

Edit: c'è anche questo che non va bene: C:\WINDOWS\system32\svchelper.exe

Adesso devo pranzare, dopo ci guardo meglio :)

Originariamente inviato da wgator
Ciao,

Eraser ti chiedeva se puoi spedirgli il file msdrv.exe

Il log lo sto controllando. Dopo ti dico

avevo capito il file di log...:p

Originariamente inviato da emipao
avevo capito il file di log...:p

:D

ad una prima analisi sembrerebbe un BOT irc però ora guardo meglio

Ciao,

io tenterei di arrestare questi processi:

C:\WINDOWS\system32\svchelper.exe
C:\WINDOWS\system32\msdrv.exe

poi li eliminerei.

Con hijackthis fixxerei queste voci:

O4 - HKLM\..\Run: [SYSTEM service helper] C:\WINDOWS\system32\svchelper.exe
O4 - HKLM\..\Run: [MSysDrv] C:\WINDOWS\system32\msdrv.exe
O4 - HKLM\..\Run: [HMSystem] C:\WINDOWS\system32\HMStart.com

P.S.
Prima aspetta anche quello che ti dice Eraser

Originariamente inviato da wgator
Ciao,

io tenterei di arrestare questi processi:

C:\WINDOWS\system32\svchelper.exe
C:\WINDOWS\system32\msdrv.exe

poi li eliminerei.

Con hijackthis fixxerei queste voci:

O4 - HKLM\..\Run: [SYSTEM service helper] C:\WINDOWS\system32\svchelper.exe
O4 - HKLM\..\Run: [MSysDrv] C:\WINDOWS\system32\msdrv.exe
O4 - HKLM\..\Run: [HMSystem] C:\WINDOWS\system32\HMStart.com

P.S.
Prima aspetta anche quello che ti dice Eraser

Rieccomi,

Ho guardato un po' meglio e confermo quanto scritto sopra.

E' fortemente consigliabile cancellare anhe tutti i file temporanei, i temporanei di internet e disattivare il ripristino della configurazione di sistema

Una nota: in c:\windows\system32 ci dovrebbe essere "hmstart.com" che ha tutta l'aria di essere una schifezza... prova a cercarlo (attivando la visualizzazione di tutti i file e le cartelle) Se lo trovi cancella anche lui, poi riavvia un paio di volte naviga in internet per qualche minuto e vedi se è tutto a posto.

Se hai qualche sospetto di avere ancora qualche schifezza dopo il trattamento, posta un nuovo log di hijackthis

mandami anche hmstart.com se lo trovi :)

cmq sto aspettando una conferma ma dall'analisi che ho fatto sono quasi sicuro che msdrv.exe si tratta di un bot irc

Ti ho mandato anche l'hmstart...
Bot irc in parole povere cosa vorrebbe dire che cosa puo' comportare/aver causato?
grazie ciao!

Originariamente inviato da eraser
cmq sto aspettando una conferma

conferma appena arrivata, avevo ragione ;) è una backdoor IRC, permette il controllo da remoto del pc :)

Ora guardo l'hmstart.com

tanto per fare chiarezza...adesso ho chiuso i 3 processi...
-msdrv
-svchelper
-HMstart
e uno di questi...fa parte della plugin di winamp per hostare una radio, perche' fino ad oggi si apriva con winamp e adesso non si apre piu'!

-svchelper
-HMstart

uno di questi due ;) msdrv è una backdoor IRC nuova nuova ;)

ho fatto quello che mi avete detto ed al momento tutto fila liscio...magari e' presto per cantare vittoria comunque apparenteente sono stati iolti i problemi.....
un caloroso grazie a eraser e wgator per il tempo perso....ciao!

Ciao,

penso che dovresti essere a posto.
Per mia informazione (arricchimento cultura virale :D ), sei riuscito a capire qual'era il file che faceva funzionare quella radio?

- svchelper
- HMstart

Mi piacerebbe segnarmelo, verrebbe utile se lo incontrassi ancora

tanto per non smentire mai la mia ignoranza cronica....mi dovete scusare ma il fatto della plug in non è vero...in quanto cercando il file scaricato e smanettando con winamp ho visto che si era semplicemente ridotto ad icona...quindi non è quello il processo incriminato...

grazie di nuovo e ciao!