appena rientrata dalle vacanze... ed ecco la solita sorpresa!

accendo il Pc, sbrigo un pò di cose mie, verifico i tol, scarico la posta e dopo circa un'oretta RIECCOLO!

solita pappetta:
"il processo di sistema C:\WINNT\system32\services.exe con codice di stato 128 è stato terminato in modo non previsto.

e comincia il conto alla rovescia di pochi secondi per poi RIAVVIARSI!


me la date una mano (anche stavolta?) PLEASE?

Inizia con una scansione online per vedere se hai un virus:http://www.bitdefender.com/scan8/ie.html
Il tuo sistema operativo e' aggiornato?

services.exe is also a process which is registered as the W32.Randex.R (stored in %systemroot%\system32\ directory) and Sober.P (stored in %systemroot%\Connection Wizard\Status\ directory) Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. Please see additional details regarding this process

prova ad usare mcafee solo scanner
che ti ho linkato via PM :)

Che sistema operativo usi? Se usi win2000 dai un'occhiata anche a questo link:
http://support.microsoft.com/?kbid=318447

si usa win 2000 visto che la cartella
C:\WINNT
c'è solo sul 2000.Tuttavia nel link che hai segnalato tu è detto che le versioni di win 2000 affette sono quelle fino a SP2,per cui se lei si trova in queste condizioni le conviene installare il SP4.

c'è solo sul 2000.Tuttavia nel link che hai segnalato tu è detto che le versioni di win 2000 affette sono quelle fino a SP2,per cui se lei si trova in queste condizioni le conviene installare il SP4.
Si infatti le ho chiesto subito se ha il sistema operativo aggiornato. Spesso questi messaggi di errore compaiono proprio su macchine non aggiornate.

la prima cosa che ho fatto è stata installare gli aggiornamenti che erano già stati scaricati da tempo, ma che per mia trascuratezza giacevano lì in attesa di.....

dopo l'installazione ho riavviato e solo dopo pochi minuti si è ripresentato il problema.
Ho (ha) riavviato e sono pioù di 15 minuti che non si riavvia da solo.

Nel frattempo sto scaricando il mcafee che mi ha inviato Matteo....


azz...
rieccolo!!!!

Ovviamente il pc sara` infettato da ogni schifezza quindi buona fortuna a ripulire...

Ma comunque Win2k SP4 e` lui stesso un colabrodo, ci sono altri hotfix e un update rollup da installare x chiudere i vari buchi noti.
E comunque e` molto meglio avere un firewall.

Se addirittura avevi ancora l'SP2... ci saranno i warezzomani di irc che ci ballano dentro da anni.

Se vuoi puoi postare anche un log di hijackthis.

Se vuoi puoi postare anche un log di hijackthis.

quoto, così vediamo che processi hai in esecuzione e magari scoviamo il virus :)

macafee (1 ora e mezza!) ed un pò di robaccia ne ha eliminata.
Mi sono appena ricollegata e vediamo che succede.

in ogni caso io ho sp3.

questo è il log di HijackThis:
ogfile of HijackThis v1.97.7
Scan saved at 15.34.20, on 16/08/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\System32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\CPUCooL\CooLSrv.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Tiny Personal Firewall\persfw.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\ANGELILLY\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sella.it/index.jsp
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .pdf: C:\Programmi\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: TradinGear - https://streaming1.imiweb.it/internal/quicktrade/ie/TradingApplication.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E129E9ED-C3D8-43DF-9B41-61B07CE745FC}: NameServer = 85.37.17.49 151.99.125.1

che sfere!!!!

Il log e' pulito. Questa voce non la conosco pero':
O16 - DPF: TradinGear - https://streaming1.imiweb.it/intern...Application.cab
se non la conosci nemmeno tu eliminala.

Il log e' pulito. Questa voce non la conosco pero':
O16 - DPF: TradinGear - https://streaming1.imiweb.it/intern...Application.cab
se non la conosci nemmeno tu eliminala.

la conosco: è il mio tol bancario.

sono a pezzi: non so che altro fare!

prova ad scaricare questi(clicca sul bottone rosso DOWNLOAD):
http://www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/SpyBotSearch-Destroy.shtml
http://www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/AdAware-SE-Personal.shtml
li installi,li aggiorni e li avvii uno per volta.

Prova a fare dalla console di ripristino chkdsk /r per verificare lo stato del disco. Dai una lettura a questo link:http://www.ilsoftware.it/articoli.asp?ID=662

scusa tanto ma se ho letto bene ti si riavvia il pc solo quando sei collegata,perchè quando scansionavi con mcafee non ti si è riavviato il pc per 1 ora e mezza,quindi penso che tu abbia bisogno urgentemente di un firewall

Prova a fare dalla console di ripristino chkdsk /r per verificare lo stato del disco. Dai una lettura a questo link:http://www.ilsoftware.it/articoli.asp?ID=662



non riesco a fare dalla console di ripristino chkdsk.... non sono così in gamba! :(

scusa tanto ma se ho letto bene ti si riavvia il pc solo quando sei collegata,perchè quando scansionavi con mcafee non ti si è riavviato il pc per 1 ora e mezza,quindi penso che tu abbia bisogno urgentemente di un firewall


si Matteo, si riavvia solo quando sono collegata in internet!

il firewall ce l'ho!
E' Tiny Personal Firewall Engine.

e allora il problema è lì,perchè si dovrebbe presentare anche a pc sconnesso.Probabilmente hai un trojan o un worm che con quel firewall non riesci a bloccare.

se anche con il Pm non risolvi,non ti resta che fare una scansione con kaspersky online:
http://www.kaspersky.com/virusscanner
cliccando Kaspersky Online Scanner
usa IE e accetta l'activeX quando richiesto.

Prova anche con una scansione con ewido:http://download.ewido.net/ewido-setup.exe

Nessun problema! :D

Vai su start>esegui>digiti "cmd"> digit "shutdown -i"(con lo spazio fra la n ed il trattino,e poi cambi il valore 20(secondi) in 999 ,così avrai tre ore di tempo prima che si spenga il pc :D ;)

e poi,scaricati ed usa ms antispyware,ad-aware,cwshreddrer+un buon firewall(zone alarm,kerio personal firewall,sygate),tiny non lo conosco ma visto la sua scarsa diffusione,non credo sia molto efficace.

poi,fai anche 2 scansioni on-line e postaci i risultati:

http://security.symantec.com/sscv6/home.asp?langid=it&venid=sym&plfid=23&pkj=WXEJQGQMYGCNDHYTLDW
http://www.bitdefender.com/
http://www.pandasoftware.com/active...n_principal.htm
http://housecall60.trendmicro.com/e...orp.asp?id=scan
http://it.mcafee.com/root/mfs/default.asp

Nessun problema! :D

Vai su start>esegui>digiti "cmd"> digit "shutdown -i"(con lo spazio fra la n ed il trattino,e poi cambi il valore 20(secondi) in 999 ,così avrai tre ore di tempo prima che si spenga il pc :D ;)


dopo che scrivo "cmd" clicco su ok
e si apre una finestra nera con scritto C:\WINNT\system32\cmd.exe

ma dentro non riesco a scrivere "shutdown -i" perchè dice che non è riconosciuto come file interno o esterno, un file eseguibile o un file bacht.

dov'è che sbaglio?????

il tuo problema è che il pc si riavvia e non si spegne per cui quella scorciatoia non serve;devi necessariamente trovare il problema e non cercare una pezza perchè se hai un trojan e fai dei movimenti bancari sei a rischio.
Hai fatto le scansioni,anche quella di kaspersky?

il tuo problema è che il pc si riavvia e non si spegne per cui quella scorciatoia non serve;devi necessariamente trovare il problema e non cercare una pezza perchè se hai un trojan e fai dei movimenti bancari sei a rischio.
Hai fatto le scansioni,anche quella di kaspersky?


Matteo, non riesco a fare le scansioni on line, perchè non me ne da il tempo!
la cosa assurda è che non ha un tempo fisso: una volta mi fa stare on-line pochissimi minuti, altre volte 4/5, altre ancora 10....
da impazzire!

e poi,scaricati ed usa ms antispyware,ad-aware,cwshreddrer+un buon firewall(zone alarm,kerio personal firewall,sygate),tiny non lo conosco ma visto la sua scarsa diffusione,non credo sia molto efficace.

poi,fai anche 2 scansioni on-line e postaci i risultati:

http://security.symantec.com/sscv6/home.asp?langid=it&venid=sym&plfid=23&pkj=WXEJQGQMYGCNDHYTLDW
http://www.bitdefender.com/
http://www.pandasoftware.com/active...n_principal.htm
http://housecall60.trendmicro.com/e...orp.asp?id=scan
http://it.mcafee.com/root/mfs/default.asp


con cwshredder nessun file infetto!
con ad-aware ho eliminato file sospetti, ma non è cambiato nulla!

forse sarebbe il caso di provare il kaspersky trial:
il download è veloce:
http://www.kaspersky.com/trials?chapter=146481750
ovviamente prima disinstalla l'antivirus che stai usando ora e riavvia.

secondo me non è un trojan, secondo me l'attacco viene dall'esterno; il tuo firewall lo blocca services.exe? fagli bloccare tutti i tentativi di connessione verso l'esterno e soprattutto di ricezione di connessione (quello che ZA definisce l'"agire come server").

secondo me non è un trojan, secondo me l'attacco viene dall'esterno; il tuo firewall lo blocca services.exe? fagli bloccare tutti i tentativi di connessione verso l'esterno e soprattutto di ricezione di connessione (quello che ZA definisce l'"agire come server").

l'attacco viene dall'esterno!....
e quel ca....o di Tiny firewall che ho non me lo blocca il service.exe


ma veramente che non mi resta che formattare?

l'attacco viene dall'esterno!....
e quel ca....o di Tiny firewall che ho non me lo blocca il service.exe


ma veramente che non mi resta che formattare?
Prova a cambiare firewall. Tentare non nuoce.

ma un attacco dall'esterno anche riavviando e cambiando IP per me viene richiamato dall'interno.Altrimenti non me lo spiego.
Cambiare firewall può essere utile,magari outpost che filtra meglio soprattutto le dll injection,ma il problema rimane dentro il PC.

ma un attacco dall'esterno anche riavviando e cambiando IP per me viene richiamato dall'interno.Altrimenti non me lo spiego.
Cambiare firewall può essere utile,magari outpost che filtra meglio soprattutto le dll injection,ma il problema rimane dentro il PC.


sono riuscita a scaricare il firewall Kerio (zonealarm nulla da fare!) ed anche gli aggiornamenti da windows update, riportando indietro l'orologio del pc, ogni volta che riappariva il countdown....


SPERIAMO BENE!

in ogni caso ecco il nuovo log di hijackthis:

ogfile of HijackThis v1.97.7
Scan saved at 14.53.34, on 17/08/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\System32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\CPUCooL\CooLSrv.exe
C:\WINNT\System32\svchost.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\wuauclt.exe
C:\Documents and Settings\ANGELILLY\Desktop\HijackThis.exe
C:\WINNT\SoftwareDistribution\Download\cce04911845d36b7f42db6c9f4e9e06a\update\update.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sella.it/index.jsp
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E129E9ED-C3D8-43DF-9B41-61B07CE745FC}: NameServer = 85.37.17.49 151.99.125.1



chi gli da un'occhiata per piacere???

Il log e' pulito.

Il log e' pulito.



ed io facendo i dovuti scongiuri sono PRATICAMENTE 21 minuti che sono connessa senza che................. nemmeno lo voglio dire!!


VEDIAMO!

(non lasciatemi sola intanto, però! :) )

ed io facendo i dovuti scongiuri sono PRATICAMENTE 21 minuti che sono connessa senza che................. nemmeno lo voglio dire!!


VEDIAMO!

(non lasciatemi sola intanto, però! :) )
:sperem:

intanto la trial di kaspersky potresti prelevarla.

intanto la trial di kaspersky potresti prelevarla.


Matteo ho quasi paura a farlo, visto che siamo a 35 minuti di connessione continua!

dimenticavo di dire che sono riuscita, sempre col sistema dell'orologio del pc messo alcune ore indietro, a fare una scansione online su symantec e nessun virus e nessun trojan horse è stato rilevato.........



dici che prelevo lo stesso kaspersky?

paura di che;tu la scarichi,disinstalli l'antivirus che hai,riavvii,installi il kaspersky,riavvii installi gli aggiornamenti e fai una scansione.Se anche con kaspersky non ottieni nulla forse hai solo una falla di win 2000 tipo blaster-sasser.

paura di che;tu la scarichi,disinstalli l'antivirus che hai,riavvii,installi il kaspersky,riavvii installi gli aggiornamenti e fai una scansione.Se anche con kaspersky non ottieni nulla forse hai solo una falla di win 2000 tipo blaster-sasser.


pare proprio che fosse una falla di win200, visto che che ora, fatti gli aggiornamenti su windows update (una fatica!), rimosso il mio vecchio firewall e messo un altro (cosi come hai giustamente insistito tu!), sembra tutto funzionare...

in ogni caso prelevo Kaspersky.


ehm.... io stupidamente credevo che l'antivirus non era necessario se si aveva già un firewall!

oggi come oggi antivirus+firewall sono uno standard;anzi non bastano più visto che occorre aggiungere anche gli anti spyware.
Comunque se al momento sei a posto non cambiare antivirus;vedi come vai e poi ne riparliamo. :cool:

oggi come oggi antivirus+firewall sono uno standard;anzi non bastano più visto che occorre aggiungere anche gli anti spyware.
Comunque se al momento sei a posto non cambiare antivirus;vedi come vai e poi ne riparliamo. :cool:



Io davvero non so come ringraziare sia TE che tutti gli altri del forum che mi hanno aiutato!....


GIURO!... Siete stati PREZIOSISSIMI.... spero davvero di potermi rendere utile in qualche modo!

figurati :) :cool: