msvxd.exe

[minestrello]

Come posso evitare di far lanciare tale programma alla prima apertura di Windows? Il pc dice che è specificato in win.ini...come faccio a trovarlo e cancellarlo?

[andorra24]

E' un worm. Perche' non fai una scansione con ewido? http://download.ewido.net/ewido-setup.exe

[minestrello]

Io ho il Norton... è possibile che abbia fatto un casino nel cancellare dei file importanti?

[andorra24]

Vediamo di stanarlo attraverso il log di hijackthis. Postalo cosi lo controlliamo.
Il worm consiste di 3 componenti che sono: MSVXD.EXE, MSVXD16.DLL e MSVXD32.DLL. Bisogna eliminarli.

[minestrello]

i 2 dll sono stati eliminati dal norton durante la prima scansione ma l'exe è ancora presente..ma nn so dove!!

[andorra24]

Quote:

Originariamente inviato da minestrello

i 2 dll sono stati eliminati dal norton durante la prima scansione ma l'exe è ancora presente..ma nn so dove!!

Posta un log di hijackthis cosi vediamo se riusciamo a scovarlo. Lo sai fare?

[minestrello]

no!! Mi dici come si fa?

[andorra24]

Quote:

Originariamente inviato da minestrello

no!! Mi dici come si fa?

Scaricati hijackthis da qui:http://majorgeeks.com/downloadget.ph...8baee6434cfc13
e' un piccolo tool standalone, prima chiudi il browser e ogni altra finestra di applicazioni aperta e dopo apri hijackthis e clicchi su ''do a system scan and save a logfile''. Fatto cio' devi semplicemente fare un copia/incolla del log e postarlo in modo da poterlo analizzare.

[minestrello]

posso farlo domani in tarda mattinata!!!
Grazie mille!

[andorra24]

Quote:

Originariamente inviato da minestrello

posso farlo domani in tarda mattinata!!!
Grazie mille!

Ok, e fai pure la scansioncina con ewido che ti ho consigliato nel mio primo post.

[minestrello]

Va bene...agli ordini!!

[minestrello]

Ti mando il risultato di hijackthis
quando il PC parte compare:
impssibile trovare msvxd.exe. Verificare che il percorso o nome siano corretti e che tutte le librerie siano disponibili
impossibile caricare o seguire msvxd.exe specificato in win.ini. controllare che il programma esista oppure rimuovere la riga win.ini relativa al programma.
Come posso evitare tali rotture di sc???

Logfile of HijackThis v1.99.1
Scan saved at 11.31.32, on 17/02/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\ORDERREMINDER\ORDERREMINDER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMI\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMMI\HELPEXPRESS\BIN\MPBTN.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\WINRAR\WINRAR.EXE
C:\WINDOWS\PROFILES\PC9\DOCUMENTI\WEB\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F1 - win.ini: run=MSVXD.EXE,MSVXD.EXE,MSVXD.EXE,MSVXD.EXE
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAMMI\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMMI\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [OrderReminder] C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [PowerManager] C:\WINDOWS\SVCHOST.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Application Data\Microsoft\Installer\{00020410-78E1-11D2-B60F-006097C998E7}\misc.exe
O4 - Startup: HELPExpress.lnk = C:\Programmi\HELPExpress\bin\resource.dll
O4 - User Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - User Startup: Microsoft Office.lnk = C:\WINDOWS\Application Data\Microsoft\Installer\{00020410-78E1-11D2-B60F-006097C998E7}\misc.exe
O4 - User Startup: HELPExpress.lnk = C:\Programmi\HELPExpress\bin\resource.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - file://D:\install\AuthorwareFull\AwareWebPlayer\Download\Smart\Cab\awswaxf.cab

[Stev-O]

potresti al limite togliere:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
per il resto sembra apposto

aggiungo che la scansioncina con ewido non la puoi fare perchè non gira su 9x/ME

sono curioso di vedere andorra cimentarsi col 98se

[andorra24]

Fixa:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 (se non usi proxy fixala)
F1 - win.ini: run=MSVXD.EXE,MSVXD.EXE,MSVXD.EXE,MSVXD.EXE
O4 - HKLM\..\RunServices: [PowerManager] C:\WINDOWS\SVCHOST.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

[Stev-O]

non vale andare a leggere prima...

cos'ha che non va
F1 - win.ini: run=MSVXD.EXE,MSVXD.EXE,MSVXD.EXE,MSVXD.EXE
O4 - HKLM\..\RunServices: [PowerManager] C:\WINDOWS\SVCHOST.EXE ???

[andorra24]

Quote:

Originariamente inviato da Stev-O

cos'ha che non va
F1 - win.ini: run=MSVXD.EXE,MSVXD.EXE,MSVXD.EXE,MSVXD.EXE
O4 - HKLM\..\RunServices: [PowerManager] C:\WINDOWS\SVCHOST.EXE ???

msvxd.exe e' un virus:http://www.liutilities.com/products/...library/msvxd/

anche la voce 04 va eliminata perche' e' un virus:http://castlecops.com/s2779-Svchost_exe.html

[Stev-O]

tanto di cappello

bisogna trovare un'alternativa a ewido per sistemi 9x/me

[andorra24]

Quote:

Originariamente inviato da Stev-O

bisogna trovare un'alternativa a ewido per sistemi 9x/me

Ci sono i classici spybot e adaware e poi potrebbe usare anche a-squared

[Stev-O]

sì in effetti a2 è l'unico valido assieme ai soliti spywareblaster e firefox corazzato

[TerzaVia]

Quote:

Originariamente inviato da Stev-O

sì in effetti a2 è l'unico valido assieme ai soliti spywareblaster e firefox corazzato

Quoto! Se vi va di vederlo ho postato il mio log sul tread di HiJackThis. Credo sia uno dei più "brevi" mai apparsi